Около 3 млн iOS- и macOS-приложений могли быть атакованы через 10-летнюю «дыру»

В течение десятилетия в системе CocoaPods, которая используется для управления проектами на Swift и Objective-C, существовали уязвимости, которые позволяли хакерам вставлять вредоносный код в тысячи приложений для macOS и iOS.

Эти уязвимости, устраненные в октябре прошлого года, могли поставить под угрозу безопасность миллионов пользователей.

Уязвимости и их последствия

Исследователи из EVA Information Security выявили три ключевые уязвимости:

• CVE-2024-38367: Уязвимость, связанная с манипуляцией URL в механизме проверки электронной почты, позволяла хакерам перенаправлять ссылки на свои серверы.
• CVE-2024-38368: Возможность захвата управления над «осиротевшими» кодовыми пакетами, которые продолжают использоваться в приложениях, но оставлены их разработчиками.
  
• CVE-2024-38366: Уязвимость, позволяющая выполнить код на сервере CocoaPods через инъекцию команд в процессе проверки адресов электронной почты.
  

Пример уязвимости

Одна из уязвимостей позволяла изменить URL для перенаправления пользователей на вредоносный сайт. Например, вместо обычного URL, который ведет на сервер CocoaPods:

			https://cocoapods.org/sessions/verify?email=example@example.com&token=abcdef123456
		

Хакеры могли изменить его на:

			https://malicious-server.com/sessions/verify?email=example@example.com&token=abcdef123456
		

Рекомендации по безопасности

Разработчикам, использующим CocoaPods, рекомендуют следующее:

• Синхронизировать файл podfile.lock со всеми разработчиками, чтобы избежать автоматического обновления до потенциально опасных версий.
• Выполнять проверку CRC (контрольной суммы) для внутренне разработанных подов.
  
• Проводить тщательный обзор безопасности любого стороннего кода.
  
• Проверять зависимости CocoaPods и избегать использования «осиротевших» подов.
  
• Использовать сторонние зависимости, которые активно поддерживаются.
  
• Проводить периодические проверки безопасности кода для выявления секретов и вредоносного кода.