Три мільйони додатків для iPhone та iPad можуть бути небезпечними

На кожній презентації Apple постійно наголошує на безпеці своїх пристроїв, але навіть у найкращому програмному забезпеченні можна знайти вразливості. Це знову підтвердили дослідники з компанії EVA Information Security, виявивши три серйозні вразливості, які могли впливати на мільйони, а можливо, й мільярди користувачів протягом останнього десятиліття.

Ці вразливості торкалися приблизно трьох мільйонів програм для iOS, iPadOS та macOS, розробники яких використовували репозиторій CocoaPods для проектів на Swift та Objective-C з відкритим вихідним кодом. Проблема полягала в тому, що зміни, внесені в один із наборів коду на CocoaPods, часто автоматично потрапляли до пов’язаних програм через оновлення. Усі три вразливості були пов’язані з механізмом перевірки електронної пошти, який використовувався для автентифікації розробників.

Перша вразливість дозволяла зловмисникам змінювати посилання у листі, перенаправляючи жертву на фальшивий сервер. Друга вразливість надавала можливість брати під контроль програмні модулі, які були покинуті розробниками, але продовжували функціонувати всередині додатків. Знайшовши інтерфейс до такого модуля, зловмисник міг активувати його та отримати контроль без підтвердження права власності. Третя вразливість дозволяла зловмисникам виконувати код на сервері для перевірки унікальності зареєстрованих адрес електронної пошти.

Варто зазначити, що розробникам або користувачам додатків наразі не потрібно вживати жодних заходів, оскільки ці вразливості вже усунуті. Проте інформація про те, чи були ці вразливості використані зловмисниками, не наводиться.

Підпишись на нас в Google НОВИНИ, та отримуй більше свіжих новин!