Сегодня 01 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Миллионы приложений для iOS и macOS оказались под угрозой взлома из-за уязвимости в CocoaPods

Специалисты в сфере информационной безопасности из EVA Information Security обнаружили несколько уязвимостей в менеджере зависимостей CocoaPods, с помощью которого разработчики могут переносить функции из других приложений в свои. Проблема затронула около 3 млн приложений для iOS и macOS, которые используют в своей работе CocoaPods.

 Источник изображения: 9to5mac.com

Источник изображения: 9to5mac.com

Эксплуатация этих уязвимостей может привести к тому, что злоумышленники получат доступ к конфиденциальным данным приложений, включая номера банковских карт пользователей, медицинские записи и др. Такая информация может использоваться для совершения ряда преступлений, таких как мошенничество, шантаж и корпоративный шпионаж.

Согласно имеющимся данным, уязвимости связаны с механизмом проверки подлинности электронной почты, который используется для аутентификации разработчиков отдельных библиотек. Например, злоумышленник может изменить URL-адрес в ссылке для проверки, чтобы она перенаправляла на вредоносный сервер. Разработчики CocoaPods исправили все обнаруженные уязвимости после получения соответствующего сообщения от EVA.

Отметим, что это не первый случай, когда в CocoaPods находят опасные уязвимости. В 2021 году разработчики подтвердили наличие уязвимости, которая позволяла репозиториям CocoaPods запускать произвольный код на серверах, которые им управляют. Такая ошибка могла использоваться злоумышленниками для подмены легитимного кода вредоносными пакетами, которые в конечном счёте могли оказаться в приложениях для iOS и macOS.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Руководство OpenAI признало, что конкуренция за ценные кадры вынуждает его шевелиться 3 ч.
Марк Цукерберг собрал звёздную команду для разработки суперинтеллекта 4 ч.
Microsoft испытала ИИ-доктора MAI-DxO, который ставит диагнозы в 4 раза точнее врачей 8 ч.
The Blood of Dawnwalker, Code Vein 2 и многие другие: анонсирована игровая презентация Bandai Namco Summer Showcase 2025 9 ч.
Комиссионный хаос: Apple изменила правила App Store для ЕС так, что теперь их никто не понимает 10 ч.
«Это был ошибочный выбор»: авторы The Alters подтвердили, что в игру попал ИИ-контент, и объяснили, как так получилось 10 ч.
AMD выпустила драйвер с поддержкой FSR 4 для Monster Hunter Wilds и GTA V Enhanced 11 ч.
Календарь релизов — 1–6 июля: Mecha Break, Dying Light Retouched и девятый сезон Diablo IV 11 ч.
Avanpost: в корпоративном сегменте по-прежнему большей частью полагаются на обычные пароли и LDAP 11 ч.
Надёжный инсайдер раскрыл, когда ждать анонс и релиз следующей Ghost Recon 12 ч.
OpenAI пока не готова активно использовать ускорители Google в своей инфраструктуре 60 мин.
Пять причин полюбить HONOR 400 Pro 2 ч.
Apple не смогла отклонить иск Министерства юстиции США о монополии на рынке смартфонов 4 ч.
Новая статья: Обзор Core Ultra 7 265K: гадкий утёнок 8 ч.
В России вышло игровое кресло Filum FL-CH-G-070 с надёжной конструкцией и эргономичной посадкой 9 ч.
ИИ создаст спрос на передовые чипы: выпуск 7-нм и более тонких полупроводников вырастет на 69 % к 2028 году 9 ч.
Google подключит серверы к термоядерному реактору Commonwealth Fusion Systems 10 ч.
В деревню, в глушь, на север: московский регион страдает от дефицита мощностей ЦОД, но скоро операторы могут уйти в провинцию 10 ч.
Дубай стал на шаг ближе к запуску аэротакси — Joby Aviation доставила первый серийный электролёт в ОАЭ 14 ч.
Китай через пять лет станет крупнейшим поставщиком чипов в мире с долей рынка в 30 %, несмотря на санкции 15 ч.