3 мільйони додатків для iPhone та iPad можуть бути небезпечними

На кожній своїй презентації Apple не втрачає можливості заявити про безпеку своїх гаджетів, але в будь-якому програмному забезпеченні можна знайти вразливість. І це вкотре довели дослідники з компанії EVA Information Security, які виявили три серйозні вразливості, які могли потенційно вплинути на мільйони або навіть мільярди користувачів протягом останніх 10 років.

Ці вразливості стосувалися приблизно трьох мільйонів програм для iOS, iPadOS та macOS, розробники яких користувалися репозиторієм CocoaPods для проектів на Swift та Objective-C з відкритим вихідним кодом. Проблема полягала в тому, що коли розробники вносили зміни в один із наборів коду на CocoaPods, пов’язані програми часто автоматично отримували ці зміни через оновлення. Всі три виявлені вразливості були пов’язані з механізмом перевірки електронної пошти, який використовується для автентифікації розробників.

Перша вразливість дозволяла зловмисникам змінювати посилання у листі, перенаправляючи жертву на підроблений сервер. Друга вразливість дозволяла брати під контроль програмні модулі, покинуті розробниками, але продовжували працювати всередині додатків. Зловмисник, знайшовши інтерфейс до такого модуля, міг активувати його і отримати контроль без підтвердження права власності. Третя вразливість дозволяла зловмисникам виконувати код на сервері для перевірки унікальності зареєстрованих адрес електронної пошти.

Важливо зазначити, що з боку розробників або користувачів додатків жодні дії зараз не потрібні, оскільки вразливості вже усунуті. Проте, інформація про те, чи використовувалися ці вразливості зловмисниками, не наводиться.