Эксперты компании EVA Data Security обнаружили сразу три серьёзные уязвимости в менеджере зависимостей CocoaPods для проектов на Swift и Aim-C Cocoa. Уязвимости ставят под угрозу множество приложений, созданных разработчиками для техники Apple, работающих под управлением iOS и macOS.
Согласно отчету, около 3 миллионов приложений для iOS и macOS, созданных с помощью CocoaPods, были уязвимы в течение примерно 10 лет. Для тех, кто не знаком, CocoaPods упрощает разработчикам интеграцию стороннего кода в свои приложения через библиотеки с открытым исходным кодом. Когда библиотека обновляется, приложения, использующие ее, автоматически получают последние обновления.
EVA Data Security выявила, что злоумышленники могут использовать уязвимость для получения доступа к конфиденциальным данным приложения, включая банковские карты, медицинские записи и личные материалы. Данные могут быть использованы для ряда вредоносных целей, включая программы-вымогатели, мошенничество, шантаж и корпоративный шпионаж.
Уязвимости были связаны с небезопасным механизмом проверки электронной почты, используемым для аутентификации разработчиков отдельных модулей (библиотек). Например, злоумышленник мог манипулировать URL в ссылке проверки, чтобы указать на вредоносный сервер. Команда CocoaPods уже предприняла шаги для обеспечения исправления уязвимостей.
3 июля 2024 в 11:34
Автор: VerKo
| Теги: iOS, iPhone, Apple
| Источник: 9to5mac, ArsTechnica