Миллионы приложений для iOS и macOS оказались уязвимы перед хакерами

Фото: robert coolen / Shutterstock

Одна из уязвимостей, обозначенная как CVE-2024-38368, получила оценку 9,3 по шкале CVSS и позволяет злоумышленникам получать контроль над программными пакетами через процесс “Claim Your Pods”. Проблема исходит еще с 2014 года, когда миграция на сервер Trunk оставила тысячи пакетов без владельцев, что открыло доступ к общедоступному API и адресам электронной почты для возможного захвата.

Другая уязвимость, CVE-2024-38366, оценена максимальными 10 баллами и связана с небезопасным механизмом верификации электронной почты, позволяющим злоумышленникам выполнить произвольный код на сервере и заменить целевые пакеты программного обеспечения.

Третья уязвимость, CVE-2024-38367 с оценкой 8,2 балла, позволяет злоумышленникам манипулировать процессом верификации электронной почты для перенаправления запросов на вредоносные домены и кражи токенов сессии, что может привести к атакам без вмешательства пользователя.

Команда разработчиков CocoaPods оперативно отреагировала на угрозы, выпустив обновления для исправления уязвимостей еще в октябре 2023 года и проведя сброс сессий всех пользователей для предотвращения возможных атак. Однако информация о проблеме стала известна широкой общественности только в начале июля текущего года.

Эксперты EVA Information Security также обратили внимание, что CocoaPods уже ранее становился объектом атак. В 2021 году разработчики подтвердили наличие уязвимости, позволяющей выполнение произвольного кода на серверах, управляющих репозиториями, что могло привести к замене действующих пакетов на злонамеренные версии.

Разработчикам приложений для iOS и macOS, использующим CocoaPods, рекомендуется регулярно проверять зависимости и проводить сканирование на наличие вредоносного кода во всех внешних библиотеках. Эти меры необходимы для обеспечения безопасности при интеграции стороннего кода в свои приложения.

Ситуация с уязвимостями в CocoaPods подчеркивает важность внимания к безопасности в разработке приложений для экосистемы Apple и необходимость оперативного реагирования на обнаруженные уязвимости.

Как отмечают исследователи, уязвимости, обнаруженные в CocoaPods и исправленные в октябре прошлого года, оставались необнаруженными на протяжении десятилетия, что делало тысячи приложений для macOS и iOS уязвимыми перед потенциальными атаками на поставки. Хакеры могли бы добавить зловредный код, компрометирующий безопасность миллионов или миллиардов пользователей, установивших их.

Источник: EVA Information Security

Источник: www.it-world.ru

0 0 голоса
Рейтинг новости
14160
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии