Десятилетняя уязвимость в CocoaPods ставила миллионы Apple-приложений под угрозу хакерских атак
Множество приложений, созданных для платформ Айфона и Мака, в течение целого десятилетия были на волоске от киберугроз, исходящих в связи с возникновением критических проблем в репозитории с открытым исходным кодом CocoaPods. Как сообщает Taspanews.kz со ссылкой на исследование, проведенное специалистами компании E.V.A Information Security, выявило эти "дыры" и их потенциальные последствия.
Неприкрашенная правда выглядит так: основная чувствительность помеченная как CVE-2024-38368, была оценена на уровне девяти целых три десятых по шкале CVSS. Она открывала двери для киберзлоумышленников, позволяя им получить доступ к программным пакетам, используемым разработчиками, путем замены предыдущих лиц, ответственных за проекты. Эти "дыру" спровоцировала миграция на сервер Trunk в далеком две тысячи четырнадцатом году, оставившая множество пакетов без опеки и контроля.
Вторая слабость, с кодом CVE-2024-38366, заслужила жесткий рейтинг в десять баллов, как наиболее серьезный риск. Из-за недостатков в моменте проверки email почты хакеры могли инъектировать свой код на серверную часть и подменять целевые программные компоненты.
Третья проблема, известная как CVE-2024-38367, получила оценку восемь целых две десятых. Она касалась воздействий на процессор проверки электронной почты, открывая возможность злоумышленникам пере отправлять запросы на вредоносные площадки и, таким образом, красть сессионные токены, что могло приводить к нападениям без взаимодействия пользователя.
В ответ на эти угрозы команда CocoaPods оперативно выпустила исправления для устранения уязвимостей еще в октябре предыдущего года и инициировала сброс всех пользовательских сессий. Тем не менее общественность узнала об инциденте лишь спустя несколько месяцев, в начале июля текущего года.
Совокупность этих факторов подчеркивает важность непрерывного улучшения мер кибербезопасности на глобальном уровне. Использование уязвимостей в популярных приложениях для устройств Apple – это лишь еще одно звено в длинной цепочке киберугроз, распространяющихся по всему миру, включая Казахстан.
