Експерти компанії EVA Information Security виявили відразу три серйозні вразливості у менеджері залежностей CocoaPods для проєктів на Swift та Objective-C Cocoa. Уразливості ставлять під загрозу безліч програм, створених розробниками для техніки Apple, що працюють під керуванням iOS та macOS.
Згідно зі звітом, близько 3 мільйонів програм для iOS та macOS, створених за допомогою CocoaPods, були вразливі протягом приблизно 10 років. Для тих, хто не знайомий, CocoaPods спрощує розробникам інтеграцію стороннього коду до своїх програм через бібліотеки з відкритим вихідним кодом. Коли бібліотека оновлюється, програми, які її використовують, автоматично отримують останні оновлення.
EVA Information Security виявила, що зловмисники можуть використовувати вразливість для отримання доступу до конфіденційних даних програми, включаючи банківські картки, медичні записи та особисті матеріали. Дані можуть бути використані для низки шкідливих цілей, включаючи програми-здирники, шахрайство, шантаж та корпоративне шпигунство.
Вразливості були пов’язані з небезпечним механізмом перевірки електронної пошти, який використовується для автентифікації розробників окремих модулів (бібліотек). Наприклад, зловмисник міг маніпулювати URL у посиланні перевірки, щоб вказати на шкідливий сервер.
Команда CocoaPods вже зробила кроки для забезпечення виправлення вразливостей.
