Dėl didelės „CocoaPods” tvarkyklės saugumo spragos kyla pavojus milijonams „iOS” ir „macOS” programėlių. Dėl to visame pasaulyje gali nutekėti slapti naudotojų duomenys.
Saugumo ekspertai iš „EVA Information Security” aptiko keletą pažeidžiamumų „CocoaPods” – įrankyje, kuris leidžia kūrėjams integruoti kitų programų funkcijas į savo programas. Problema susijusi su maždaug 3 milijonais „iOS” ir „MacOS” programų.
Kuo tai pavojinga?
Dėl šių pažeidžiamumų įsilaužėliai gali gauti prieigą prie slaptų programėlių duomenų, pavyzdžiui, banko kortelių numerių ir medicininių įrašų. Šie duomenys gali būti panaudoti nusikaltimams, įskaitant sukčiavimą, šantažą ir įmonių šnipinėjimą.
Pažeidžiamumas susijęs su el. pašto autentifikavimo mechanizmu, naudojamu tam tikrų bibliotekų kūrėjams patikrinti.
Užpuolikas gali manipuliuoti tikrinimo nuorodoje esančiu URL adresu ir nukreipti jį į kenkėjišką serverį.
Taip jau buvo nutikę anksčiau
Šis incidentas nėra pirmas kartas, kai „CocoaPods” susiduria su saugumo problemomis. 2021 m. buvo aptiktas pažeidžiamumas, kuris leido įvykdyti savavališką kodą „CocoaPods” saugyklas valdančiuose serveriuose. Dėl to „iOS” ir „MacOS” programose galėjo plisti kenkėjiškas kodas.
