Написать пост

Около 3 млн iOS- и macOS-приложений могли быть атакованы через 10-летнюю «дыру»

Новости

В системе CocoaPods нашли уязвимость, которой не один год и которая могла стать причиной атаки миллионов macOS- и iOS-приложений

Около 3 млн iOS- и macOS-приложений могли быть атакованы через 10-летнюю «дыру»

В течение десятилетия в системе CocoaPods, которая используется для управления проектами на Swift и Objective-C, существовали уязвимости, которые позволяли хакерам вставлять вредоносный код в тысячи приложений для macOS и iOS.

Эти уязвимости, устраненные в октябре прошлого года, могли поставить под угрозу безопасность миллионов пользователей.

Уязвимости и их последствия

Исследователи из EVA Information Security выявили три ключевые уязвимости:

  • CVE-2024-38367: Уязвимость, связанная с манипуляцией URL в механизме проверки электронной почты, позволяла хакерам перенаправлять ссылки на свои серверы.
  • CVE-2024-38368: Возможность захвата управления над «осиротевшими» кодовыми пакетами, которые продолжают использоваться в приложениях, но оставлены их разработчиками.
  • CVE-2024-38366: Уязвимость, позволяющая выполнить код на сервере CocoaPods через инъекцию команд в процессе проверки адресов электронной почты.

Пример уязвимости

Одна из уязвимостей позволяла изменить URL для перенаправления пользователей на вредоносный сайт. Например, вместо обычного URL, который ведет на сервер CocoaPods:

			https://cocoapods.org/sessions/verify?email=example@example.com&token=abcdef123456
		

Хакеры могли изменить его на:

			https://malicious-server.com/sessions/verify?email=example@example.com&token=abcdef123456
		

Рекомендации по безопасности

Разработчикам, использующим CocoaPods, рекомендуют следующее:

  • Синхронизировать файл podfile.lock со всеми разработчиками, чтобы избежать автоматического обновления до потенциально опасных версий.
  • Выполнять проверку CRC (контрольной суммы) для внутренне разработанных подов.
  • Проводить тщательный обзор безопасности любого стороннего кода.
  • Проверять зависимости CocoaPods и избегать использования «осиротевших» подов.
  • Использовать сторонние зависимости, которые активно поддерживаются.
  • Проводить периодические проверки безопасности кода для выявления секретов и вредоносного кода.
Следите за новыми постами
Следите за новыми постами по любимым темам
87 открытий2К показов