Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Несколько миллионов приложений для iPhone 10 лет были уязвимы перед хакерами

1 мин
Несколько миллионов мобильных приложений для iPhone в течение последних 10 лет были уязвимы перед хакерскими атаками из-за наличия критических ошибок. Соответствующие эксплойты были выявлены в репозитории с открытым исходным кодом CocoaPods, который активно применяется многими популярными программами для гаджетов Apple, сообщают эксперты E.V.A Information Security. Первая уязвимость с идентификатором CVE-2024-38368 (9,3 по CVSS) позволяла хакерам получить контроль над пакетами ПО через процесс Claim Your Pods. В ходе проведения этой атаки злоумышленникам необходимо было удалить всех предыдущих разработчиков из проекта. Эксперты рассказали, что ошибка была актуальна с 2014 года, когда миграция на сервер Trunk оставила без владельцев несколько тысяч пакетов. Это позволило злоумышленникам применять общедоступный API и email-адрес для получения контроля над ними. Ещё одна уязвимость с идентификатором CVE-2024-38366 и максимальной оценкой серьёзности была связана с небезопасным механизмом в
Изображение: Penfer (unsplash)
Изображение: Penfer (unsplash)

Несколько миллионов мобильных приложений для iPhone в течение последних 10 лет были уязвимы перед хакерскими атаками из-за наличия критических ошибок. Соответствующие эксплойты были выявлены в репозитории с открытым исходным кодом CocoaPods, который активно применяется многими популярными программами для гаджетов Apple, сообщают эксперты E.V.A Information Security.

Первая уязвимость с идентификатором CVE-2024-38368 (9,3 по CVSS) позволяла хакерам получить контроль над пакетами ПО через процесс Claim Your Pods. В ходе проведения этой атаки злоумышленникам необходимо было удалить всех предыдущих разработчиков из проекта. Эксперты рассказали, что ошибка была актуальна с 2014 года, когда миграция на сервер Trunk оставила без владельцев несколько тысяч пакетов. Это позволило злоумышленникам применять общедоступный API и email-адрес для получения контроля над ними.

Ещё одна уязвимость с идентификатором CVE-2024-38366 и максимальной оценкой серьёзности была связана с небезопасным механизмом верификации email-адреса, что позволяло злоумышленникам выполнять удалённый код на сервере и подменять целевые пакеты.

Третья серьёзная уязвимость с оценкой 8,2 и идентификатором CVE-2024-38367 предполагала возможность проведения различных манипуляций с процессом верификации электронной почты. В ходе такой атаки киберпреступники могли перенаправлять запросы на вредоносные домены, чтобы украсть токены пользовательской сессии. Благодаря такому подходу злоумышленники имели возможность проводить атаки без какого-либо взаимодействия с пользователем.

Специалисты по информационной безопасности E.V.A Information Security рассказали, что сотрудники CocoaPods представили соответствующие патчи для устранения уязвимостей ещё в октябре 2023 года, когда об ошибках не было общедоступной информации. Помимо этого, был осуществлён сброс всех пользовательских сессий для предотвращения вероятных кибератак.

Оригинал публикации на сайте CISOCLUB: "Несколько миллионов приложений для iPhone 10 лет были уязвимы перед хакерами".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются