Миллионы приложений iOS могли подвергнуться кибератаке из-за этой тревожной уязвимости

Эксперты предупреждают, что ключевой инструмент, используемый в основном при разработке приложений для iOS и macOS, оказался уязвимым. Миллионы приложений Mac могут быть подвергнуты атакам на цепочки поставок.
Миллионы приложений iOS могли подвергнуться кибератаке из-за этой тревожной уязвимости

Миллионы приложений iOS могли подвергнуться кибератаке из-за этой тревожной уязвимости. Фото: СС0

Исследователи кибербезопасности EVA Information Security утверждают, что менеджер зависимостей для проектов Swift и Objective-C под названием CocoaPods содержал три уязвимости в «магистральном» сервере, используемом для его управления.

Одна из уязвимостей заключается в механизме проверки электронной почты, который платформа использует для аутентификации разработчиков pod. Чтобы получить доступ к учетной записи, разработчик должен ввести свой адрес электронной почты, связанный с pod, а затем получить ссылку, отправленную на его электронную почту. Однако URL в ссылке можно изменить, чтобы перенаправить разработчика на сервер, находящийся под контролем злоумышленников, сообщают исследователи.

Вторая уязвимость позволила злоумышленникам захватить pod, заброшенные разработчиками, но все еще используемые в приложениях. Третья уязвимость дает злоумышленникам возможность запускать код на сервере trunk.

Поскольку около 3 млн мобильных приложений используют около 100 тыс. библиотек, найденных на платформе, поверхность атаки довольно велика. Хуже того, как только библиотека будет изменена, приложения, использующие ее, будут обновлять ее автоматически, без взаимодействия с конечным пользователем.

Из сообщения исследователей безопасности:

«Многие приложения могут получить доступ к самой конфиденциальной информации пользователя: данным кредитной карты, медицинским записям, личным материалам и многому другому. Внедрение кода в эти приложения может позволить злоумышленникам получить доступ к этой информации практически для любых вредоносных целей, которые только можно себе представить — для вымогательства, мошенничества, шантажа, корпоративного шпионажа… В процессе это может подвергнуть компании серьезным юридическим обязательствам и репутационному риску.»

Уязвимости были раскрыты и исправлены в октябре 2023 года — и на тот момент не было никаких доказательств злоупотреблений. Сегодня разработчикам приложений и пользователям не требуется делать что-либо для защиты своих помещений.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Больше интересного

Актуальное

Хакеры используют вредоносные расширения Google Chrome для кражи данных
В Google объявили о важных обновлениях политики для приложений раннего доступа
Подключенным к Windows 11 телефоном Android теперь может управлять веб-приложение Microsoft Copilot
Ещё…