Милиони приложения за iOS и macOS са били изложени на пробив в сигурността, който може да се използва за потенциални атаки по веригата за доставки, се казва в доклад на ArsTechnica, базиран на проучване на EVA Information Security. Пробивът е открит в CocoaPods - хранилище с отворен код, използвано от много популярни приложения, разработени за платформите на Apple.
Според доклада около 3 милиона приложения за iOS и macOS, създадени с CocoaPods, са уязвими от около 10 години. За тези, които не са запознати, CocoaPods улеснява разработчиците да интегрират код на трети страни в своите приложения чрез библиотеки с отворен код. Когато дадена библиотека се актуализира, приложенията, които я използват, автоматично получават най-новите актуализации.
EVA Information Security разкри, че експлойтът може да доведе до достъп на нападателите до чувствителни данни от приложенията, като например данни за кредитни карти, медицински досиета и лични материали. Данните биха могли да се използват за редица злонамерени цели, включително за получаване на откуп, измами, изнудване и корпоративен шпионаж.
Уязвимостите бяха свързани с несигурен механизъм за проверка на електронна поща, използван за удостоверяване на разработчиците на отделни подложки (библиотеки). Например нападателят може да манипулира URL адреса в линка за проверка, за да насочи към злонамерен сървър. Екипът на CocoaPods вече е предприел стъпки, за да гарантира, че уязвимостите са отстранени.
Това не е първият случай, в който CocoaPods става обект на атаки от страна на нападатели. През 2021 г. поддръжниците на проекта потвърдиха проблем със сигурността, който позволяваше на хранилищата на CocoaPods да изпълняват произволен код на сървърите, които ги управляват. Това би могло да се използва за замяна на съществуващи пакети със злонамерени версии с код, който в крайна сметка да се доставя в приложения за iOS и Mac.
Изследователите от EVA съветват разработчиците, които използват CocoaPods в своите приложения, винаги да преглеждат зависимостите на CocoaPods и да извършват сканиране за сигурност, за да открият злонамерен код във всички външни библиотеки.
Снимка: Unsplash
Виж още: Тази компания твърди, че дрехите ѝ ще пазят вашето тяло от Wi-Fi и 5G облъчване