Експерти з безпеки з EVA Information Security виявили кілька вразливостей у CocoaPods – інструменті, який дозволяє розробникам інтегрувати функції інших застосунків у свої власні. Ця проблема торкається приблизно 3 мільйони застосунків на iOS та macOS, які покладаються на CocoaPods.
Наскільки все небезпечно
Ці вразливості можуть дозволити зловмисникам отримати доступ до конфіденційних даних застосунків, таких як номери банківських карток та медичні записи. Ці дані можуть бути використані для злочинів, включаючи шахрайство, шантаж та корпоративне шпигунство.
Вразливість пов'язана з механізмом автентифікації електронною поштою, який використовується для перевірки розробників певних бібліотек.
Зловмисник міг маніпулювати URL-адресою в посиланні для перевірки, перенаправляючи його на шкідливий сервер.
Це ж було вже
Цей інцидент – не перший випадок, коли CocoaPods стикається з проблемами безпеки. У 2021 році була виявлена вразливість, яка дозволяла виконувати довільний код на серверах, що керують репозиторіями CocoaPods. Це могло призвести до поширення шкідливого коду в додатках для iOS та macOS.