Гигантская брешь. Дыра в безопасности десять лет делала миллионы приложений для iPhone уязвимыми к атакам

Три уязвимости, обнаруженные исследователями EVA Information Security, происходят от незащищенного механизма проверки электронной почты, который используется для аутентификации разработчиков в CocoaPods, хранилище для проектов Swift и Objective-C с открытым кодом, от которых зависят примерно 3 миллиона приложений macOS и iOS.

«Многие приложения могут получить доступ к наиболее конфиденциальной информации пользователя: данным кредитной карты, медицинским записям, частным материалам и тому подобное. Внедрение кода в эти приложения может предоставить злоумышленникам доступ к этой информации почти с любой злонамеренной целью, которую только можно себе представить — программами-вымогателями, мошенничеством, шантажом, корпоративным шпионажем… В этом процессе это может подвергнуть компании серьезным юридическим обязательствам и репутационному риску», — написали исследователи из EVA.

После того, как исследователи EVA частным образом сообщили разработчикам CocoaPods об уязвимости, они стерли все сеансовые ключи, чтобы гарантировать, что никто не сможет получить доступ к учетным записям без контроля над зарегистрированным электронным адресом.

Менеджеры CocoaPods раскрыли и исправили уязвимости в октябре прошлого года. На тот момент они утверждали, что не знали о каких-либо активных попытках использования уязвимостей. Однако они подтвердили, что сценарии использования пробелов, описанные исследователями, были вероятными.

«Возможность обманом заставить людей нажать ссылку, которая переведет их на сторонний сайт, может быть использована для похищения их сеансовых ключей. Я не могу гарантировать, что ничего из этого не произошло», — говорит Орта Терокс из CocoaPods.