Przez lata miliony aplikacji na systemy iOS oraz macOS były narażone na niebezpieczny atak.
Miliony aplikacji na iOS i macOS przez lata były narażone na naruszenie bezpieczeństwa, które może zostać wykorzystane do potencjalnych ataków. Wszystkiemu winne jest darmowe repozytorium CocoaPods, wykorzystywane przez wielu deweloperów.
Z raportu firmy EVA Information Security wynika, że problem może dotyczyć nawet 3 mln aplikacji na systemy iOS oraz macOS. Zdaniem ekspertów podatność istniała od 10 lat i dopiero teraz została wykryta.
Exploit mógł zostać wykorzystany przez atakujących do uzyskania dostępu do wrażliwych danych aplikacji, takich jak dane karty kredytowej, dokumentacja medyczna i prywatne materiały. Dane te później mogą zostać wykorzystane do wielu celach, w tym ransomware'u, oszustw, szantażu i szpiegostwa korporacyjnego.
Główny problem leżał w mechanizmie weryfikacji e-mail, wykorzystywanym do uwierzytelnienia deweloperów poszczególnych bibliotek (podów). Atakujący mógł manipulować adresem URL w linku weryfikacyjnym, aby przekierować na własny, szkodliwy serwer. Twórcy CocoaPods zapewniają, że dłożono wszelkich starań, aby usunąć lukę. Ta już nie jest dostępna od kilku miesięcy.
Po tym, jak badacze EVA prywatnie powiadomili programistów CocoaPods o luce, wyczyścili oni wszystkie klucze sesji, aby nikt nie mógł uzyskać dostępu do kont bez uprzedniej kontroli zarejestrowanego adresu e-mail. Opiekunowie CocoaPods dodali również nową procedurę odzyskiwania starych osieroconych podów, która wymaga bezpośredniego kontaktu z opiekunami. Autor musiałby skontaktować się z firmą, aby przejąć jedną z tych zależności w tym momencie.
- czytamy w informacji.
Zobacz: 732202060 – ten numer to kłopoty. Od razu zablokuj
Zobacz: Tajemniczy błąd Google. Smartfon po prostu się nie włącza
Źródło zdjęć: Shutterstock
Źródło tekstu: 9to5Mac