Эксперты компании EVA Information Security обнаружили сразу три серьёзные уязвимости в менеджере зависимостей CocoaPods для проектов на Swift и Objective-C Cocoa. Уязвимости ставят под угрозу множество приложений, созданных разработчиками для техники Apple, работающих под управлением iOS и macOS.
Согласно отчету, около 3 миллионов приложений для iOS и macOS, созданных с помощью CocoaPods, были уязвимы в течение примерно 10 лет. Для тех, кто не знаком, CocoaPods упрощает разработчикам интеграцию стороннего кода в свои приложения через библиотеки с открытым исходным кодом. Когда библиотека обновляется, приложения, использующие ее, автоматически получают последние обновления.
EVA Information Security выявила, что злоумышленники могут использовать уязвимость для получения доступа к конфиденциальным данным приложения, включая банковские карты, медицинские записи и личные материалы. Данные могут быть использованы для ряда вредоносных целей, включая программы-вымогатели, мошенничество, шантаж и корпоративный шпионаж.
Уязвимости были связаны с небезопасным механизмом проверки электронной почты, используемым для аутентификации разработчиков отдельных модулей (библиотек). Например, злоумышленник мог манипулировать URL в ссылке проверки, чтобы указать на вредоносный сервер. Команда CocoaPods уже предприняла шаги для обеспечения исправления уязвимостей.