Около 3 млн iOS- и macOS-приложений могли быть атакованы через 10-летнюю «дыру»
Новости
В системе CocoaPods нашли уязвимость, которой не один год и которая могла стать причиной атаки миллионов macOS- и iOS-приложений
131 открытий6К показов
В течение десятилетия в системе CocoaPods, которая используется для управления проектами на Swift и Objective-C, существовали уязвимости, которые позволяли хакерам вставлять вредоносный код в тысячи приложений для macOS и iOS.
Эти уязвимости, устраненные в октябре прошлого года, могли поставить под угрозу безопасность миллионов пользователей.
Уязвимости и их последствия
Исследователи из EVA Information Security выявили три ключевые уязвимости:
- CVE-2024-38367: Уязвимость, связанная с манипуляцией URL в механизме проверки электронной почты, позволяла хакерам перенаправлять ссылки на свои серверы.
- CVE-2024-38368: Возможность захвата управления над «осиротевшими» кодовыми пакетами, которые продолжают использоваться в приложениях, но оставлены их разработчиками.
- CVE-2024-38366: Уязвимость, позволяющая выполнить код на сервере CocoaPods через инъекцию команд в процессе проверки адресов электронной почты.
Пример уязвимости
Одна из уязвимостей позволяла изменить URL для перенаправления пользователей на вредоносный сайт. Например, вместо обычного URL, который ведет на сервер CocoaPods:
Хакеры могли изменить его на:
Рекомендации по безопасности
Разработчикам, использующим CocoaPods, рекомендуют следующее:
- Синхронизировать файл podfile.lock со всеми разработчиками, чтобы избежать автоматического обновления до потенциально опасных версий.
- Выполнять проверку CRC (контрольной суммы) для внутренне разработанных подов.
- Проводить тщательный обзор безопасности любого стороннего кода.
- Проверять зависимости CocoaPods и избегать использования «осиротевших» подов.
- Использовать сторонние зависимости, которые активно поддерживаются.
- Проводить периодические проверки безопасности кода для выявления секретов и вредоносного кода.
131 открытий6К показов