Гігантська прогалина. Діра в безпеці десять років робила мільйони застосунків для iPhone вразливими до атак

Три вразливості, виявлені дослідниками EVA Information Security, походять від незахищеного механізму перевірки електронної пошти, який використовується для автентифікації розробників у CocoaPods, сховищі для проєктів Swift і Objective-C з відкритим кодом, від яких залежать приблизно 3 мільйони додатків macOS і iOS.

«Багато програм можуть отримати доступ до найбільш конфіденційної інформації користувача: даних кредитної картки, медичних записів, приватних матеріалів тощо. Впровадження коду в ці додатки може надати зловмисникам доступ до цієї інформації майже з будь-якою зловмисною метою, яку тільки можна собі уявити — програмами-вимагачами, шахрайством, шантажем, корпоративним шпигунством… У цьому процесі це може наразити компанії на серйозні юридичні зобов’язання та репутаційний ризик», — написали дослідники з EVA.

Після того, як дослідники EVA приватно повідомили розробників CocoaPods про вразливість, вони стерли всі сеансові ключі, щоб гарантувати, що ніхто не зможе отримати доступ до облікових записів без контролю над зареєстрованою електронною адресою.

Менеджери CocoaPods розкрили та виправили вразливості в жовтні минулого року. На той момент вони стверджували, що не знають про будь-які активні спроби використання вразливостей. Однак вони підтвердили, що сценарії використання прогалин, описані дослідниками, були ймовірними.

«Можливість обманом змусити людей натиснути посилання, яке переведе їх на сторонній сайт, може бути використана для викрадення їхніх сеансових ключів. Я не можу гарантувати, що нічого з цього не сталося», — каже Орта Терокс з CocoaPods.