Мільйони застосунків для iOS та macOS перебували під загрозою через критичну вразливість
Джерело:
9to5macСуттєвий недолік безпеки в менеджері залежностей CocoaPods поставив під загрозу мільйони програм для iOS та macOS. Це потенційно могло стати причиною витоку конфіденційних даних користувачів по всьому світу.
Експерти з безпеки з EVA Information Security виявили кілька вразливостей у CocoaPods – інструменті, який дозволяє розробникам інтегрувати функції інших застосунків у свої власні. Ця проблема торкається приблизно 3 мільйони застосунків на iOS та macOS, які покладаються на CocoaPods.
А тим часом Користувачі втрачають випадкові суми грошей через баг в одному з сервісів Apple
Наскільки все небезпечно
Ці вразливості можуть дозволити зловмисникам отримати доступ до конфіденційних даних застосунків, таких як номери банківських карток та медичні записи. Ці дані можуть бути використані для злочинів, включаючи шахрайство, шантаж та корпоративне шпигунство.
Вразливість пов'язана з механізмом автентифікації електронною поштою, який використовується для перевірки розробників певних бібліотек.
Зловмисник міг маніпулювати URL-адресою в посиланні для перевірки, перенаправляючи його на шкідливий сервер.
Важливо! Отримавши повідомлення від EVA, розробники CocoaPods оперативно виправили всі виявлені вразливості.Читайте на сайті Apple працює над повноцінними окулярами доповненої реальності, які замінять гарнітуру
Це ж було вже
Цей інцидент – не перший випадок, коли CocoaPods стикається з проблемами безпеки. У 2021 році була виявлена вразливість, яка дозволяла виконувати довільний код на серверах, що керують репозиторіями CocoaPods. Це могло призвести до поширення шкідливого коду в додатках для iOS і macOS.