Исследования экспертов компании E.V.A Information Security показали, что несколько миллионов (!) приложений под iOS и macOS годами оставались уязвимы из-за критических брешей. Эксплойты были обнаружены в CocoaPods – репозитории с открытым исходным кодом, который используют многие приложения Apple. Речь идет о трех серьезных уязвимостях.
Первая, «CVE-2024–38368», предоставляет злоумышленникам возможность получать контроль над пакетами ПО за счет процесса Claim Your Pods. Все, что нужно сделать хакеру – удалить предыдущих разработчиков из проекта. По шкале опасности CVSS аналитики оценили уязвимость в 9,3 балла из 10.
Вторая «дыра», обозначенная как «CVE-2024-38366», наиболее опасна. Эксперты оценили ее губительный потенциал в 10 баллов из 10. Зная об уязвимости механизма верификации электронной почты, хакер мог выполнять код на сервере и заменять целевые пакеты ПО.
Третья уязвимость «CVE-2024-38367» также связана с механизмом верификации электронной почты. За счет манипуляции над процессом идентификации злоумышленники могли перенаправлять запросы на вредоносные домены с целью хищения токенов сессии. По шкале CVSS опасность этой угрозы оценена в 8,2 балла из 10.
CocoaPods отреагировала на обнаружение уязвимостей осенью 2023 года, в том числе сбросом всех сессий пользователей для предотвращения возможных хакерских атак. Но сколько еще сюрпризов скрывает «надкусанное яблоко»?
Программные бреши в мобильных устройствах – потенциальная мина замедленного действия. Если стороннее вредоносное ПО с той или иной степенью успеха задетектит любой
антивирус, то критические уязвимости в системе не всегда выявляют и опытные спецы...