3 млн приложений iOS в опасности из-за уязвимости CocoaPods

В менеджере зависимостей CocoaPods более десяти лет скрывалась уязвимость, которая открывала злоумышленникам доступ к личным данным пользователей более 3 миллионов приложений для iOS и macOS. После того, как нашедшие уязвимость ИБ-специалисты из EVA Information Security обратились к разработчику CocoaPods, проблему устранили. 

CocoaPods используется тысячи разработчиком для внесения изменений в код зависимых приложений, которые обновляются автоматически, без необходимости взаимодействия с конечным пользователем. 

Обнаруженная уязвимость ПО была связана с проверкой подлинности электронной почты разработчиков библиотек. С помощью уязвимости злоумышленники могли внедрять вредоносный код и получать доступ к конфиденциальной информации, в том числе банковским данным и медицинским записям. 

Как выяснили специалисты EVA Information Security, уязвимость находилась в ПО более десяти лет, таким образом, в зоне риска оказались более 3 миллионов приложений для ОС от Apple. После обращения к разработчику CocoaPods уязвимость исправили. 

Крупные сервисы нередко имеют серьезные уязвимости, которые остаются незамеченными долгие годы. Недавно стало известно, что сервис для проверки личности AU10TIX хранил личные данные пользователей в открытом доступе в течение года. За это время злоумышленники могли получить доступ к различным документам, например, водительским правам.