Миллионы приложений для iOS и macOS оказались уязвимы перед хакерами

Логотип компании
03.07.2024
Миллионы приложений для iOS и macOS оказались уязвимы перед хакерами

Фото: robert coolen / Shutterstock

Миллионы приложений для iOS и macOS оказались под угрозой потенциальных атак через уязвимости в популярном репозитории с открытым исходным кодом CocoaPods. Исследование, проведенное специалистами из EVA Information Security, выявило серьезные проблемы, затрагивающие около 3 миллионов приложений за последние 10 лет.

Одна из уязвимостей, обозначенная как CVE-2024-38368, получила оценку 9,3 по шкале CVSS и позволяет злоумышленникам получать контроль над программными пакетами через процесс “Claim Your Pods”. Проблема исходит еще с 2014 года, когда миграция на сервер Trunk оставила тысячи пакетов без владельцев, что открыло доступ к общедоступному API и адресам электронной почты для возможного захвата.

Другая уязвимость, CVE-2024-38366, оценена максимальными 10 баллами и связана с небезопасным механизмом верификации электронной почты, позволяющим злоумышленникам выполнить произвольный код на сервере и заменить целевые пакеты программного обеспечения.

Третья уязвимость, CVE-2024-38367 с оценкой 8,2 балла, позволяет злоумышленникам манипулировать процессом верификации электронной почты для перенаправления запросов на вредоносные домены и кражи токенов сессии, что может привести к атакам без вмешательства пользователя.

Команда разработчиков CocoaPods оперативно отреагировала на угрозы, выпустив обновления для исправления уязвимостей еще в октябре 2023 года и проведя сброс сессий всех пользователей для предотвращения возможных атак. Однако информация о проблеме стала известна широкой общественности только в начале июля текущего года.

Эксперты EVA Information Security также обратили внимание, что CocoaPods уже ранее становился объектом атак. В 2021 году разработчики подтвердили наличие уязвимости, позволяющей выполнение произвольного кода на серверах, управляющих репозиториями, что могло привести к замене действующих пакетов на злонамеренные версии.

Разработчикам приложений для iOS и macOS, использующим CocoaPods, рекомендуется регулярно проверять зависимости и проводить сканирование на наличие вредоносного кода во всех внешних библиотеках. Эти меры необходимы для обеспечения безопасности при интеграции стороннего кода в свои приложения.

Ситуация с уязвимостями в CocoaPods подчеркивает важность внимания к безопасности в разработке приложений для экосистемы Apple и необходимость оперативного реагирования на обнаруженные уязвимости.

Как отмечают исследователи, уязвимости, обнаруженные в CocoaPods и исправленные в октябре прошлого года, оставались необнаруженными на протяжении десятилетия, что делало тысячи приложений для macOS и iOS уязвимыми перед потенциальными атаками на поставки. Хакеры могли бы добавить зловредный код, компрометирующий безопасность миллионов или миллиардов пользователей, установивших их.

Читайте также
На что делают ставку злоумышленники, пытаясь угадать пароли пользователей? Какие факторы, помимо выбора пароля, влияют на безопасность данных пользователя? Какие меры могут принять пользователи для повышения безопасности своих данных?

Источник: EVA Information Security

Похожие статьи