Миллионы приложений для iPhone на протяжении 10 лет были уязвимы перед хакерами

25
Миллионы приложений для iPhone на протяжении 10 лет были уязвимы перед хакерами

Эксплойты были обнаружены в репозитории с открытым исходным кодом CocoaPods.

На протяжении 10 лет миллионы приложений для iPhone и Mac были уязвимы перед хакерами из-за критических брешей. Эксплойты обнаружили в репозитории с открытым исходным кодом CocoaPods, который используют многие популярные приложения для гаджетов Apple, говорится в отчете специалистов E.V.A Information Security.

Первая уязвимость под обозначением CVE-2024-38368 была оценена в 9,3 балла по шкале CVSS. Она дает возможность злоумышленникам через процесс Claim Your Pods получить контроль над пакетами программного обеспечения. Атакующий для этого должен удалить всех предыдущих разработчиков из проекта. Проблема уходит корнями в 2014 год, когда тысячи пакетов оставила без владельцев миграция на сервер Trunk, это дало возможность недобросовестным пользователям использовать общедоступный API и адрес электронной почты для захвата контроля над ними.

Вторая уязвимость, получившая максимальную оценку в 10 баллов, - CVE-2024-38366. Связана она с небезопасным механизмом верификации электронной почты. Это позволяет выполнять код на сервере и менять целевые пакеты.

Третья уязвимость с названием CVE-2024-38367, имеющая оценку 8,2 балла, включает в себя манипуляцию с процессом верификации электронной почты, позволяя злоумышленникам для кражи токенов сессии перенаправлять запросы на вредоносные домены. Это приводит к атакам даже без каких-либо действий со стороны пользователя.

На угрозы отреагировала команда CocoaPods, выпустив еще в октябре 2023 года патчи для устранения уязвимостей и проведя сброс сессий всех пользователей для предотвращения вероятных атак, но об этой ситуации стало известно только в начале июля.

Фото ТЕЛЕПОРТ.РФ

При использовании материалов активная индексируемая гиперссылка на сайт ТЕЛЕПОРТ.РФ обязательна.

Содержимое данного поля является приватным и не предназначено для показа.

Простой текст

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Строки и абзацы переносятся автоматически.
  • Each email address will be obfuscated in a human readable fashion or, if JavaScript is enabled, replaced with a spam resistent clickable link. Email addresses will get the default web form unless specified. If replacement text (a persons name) is required a webform is also required. Separate each part with the "|" pipe symbol. Replace spaces in names with "_".

Новости