Безопасность
![Миллионы приложений для iPhone были уязвимы перед хакерами на протяжении 10 лет](https://www.itinfo.media/wp-content/uploads/2024/07/laptop-phone-marble-table_53876-71230.jpg?x75360)
3 июля 2024 12:17
Автор: Александра Горохова
Миллионы приложений для iPhone были уязвимы перед хакерами на протяжении 10 лет
Миллионы приложений для iPhone и Mac были уязвимы перед хакерами на протяжении 10 лет из-за критических брешей. Эксплойты были обнаружены в репозитории с открытым исходным кодом CocoaPods, говорится в отчете специалистов E.V.A Information Security.
Первая уязвимость дает возможность злоумышленникам захватить управление над пакетами ПО с помощью процедуры Claim Your Pods. Атакующий для этого должен исключить из проекта всех предыдущих разработчиков. Эта проблема возникла еще в 2014 году в результате перехода на сервер Trunk, в ходе которого множество пакетов остались без владельцев. Это дало возможность злоумышленникам использовать открытый API и электронную почту для получения контроля над пакетами.
Вторая уязвимость связана с небезопасным механизмом верификации электронной почты, что дает возможность выполнения кода на сервере и замены целевых пакетов.
Третья уязвимость связана с манипуляциями в процессе верификации электронной почты, что позволяет злоумышленникам переадресовывать запросы на вредоносные сайты для похищения токенов сессии, что может привести к атакам без ведома пользователя.
Команда CocoaPods отреагировала на угрозы, выпустив патчи для устранения уязвимостей еще в октябре 2023 года и проведя сброс сессий всех пользователей для предотвращения возможных атак, однако об этой ситуации стало известно лишь в начале июля.
Раннее ITinfo сообщало о том, что смартфоны Google Pixel 6 выдают ошибку после сброса до заводских настроек.