Сегодня 14 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Миллионы приложений для iOS и macOS оказались под угрозой взлома из-за уязвимости в CocoaPods

Специалисты в сфере информационной безопасности из EVA Information Security обнаружили несколько уязвимостей в менеджере зависимостей CocoaPods, с помощью которого разработчики могут переносить функции из других приложений в свои. Проблема затронула около 3 млн приложений для iOS и macOS, которые используют в своей работе CocoaPods.

 Источник изображения: 9to5mac.com

Источник изображения: 9to5mac.com

Эксплуатация этих уязвимостей может привести к тому, что злоумышленники получат доступ к конфиденциальным данным приложений, включая номера банковских карт пользователей, медицинские записи и др. Такая информация может использоваться для совершения ряда преступлений, таких как мошенничество, шантаж и корпоративный шпионаж.

Согласно имеющимся данным, уязвимости связаны с механизмом проверки подлинности электронной почты, который используется для аутентификации разработчиков отдельных библиотек. Например, злоумышленник может изменить URL-адрес в ссылке для проверки, чтобы она перенаправляла на вредоносный сервер. Разработчики CocoaPods исправили все обнаруженные уязвимости после получения соответствующего сообщения от EVA.

Отметим, что это не первый случай, когда в CocoaPods находят опасные уязвимости. В 2021 году разработчики подтвердили наличие уязвимости, которая позволяла репозиториям CocoaPods запускать произвольный код на серверах, которые им управляют. Такая ошибка могла использоваться злоумышленниками для подмены легитимного кода вредоносными пакетами, которые в конечном счёте могли оказаться в приложениях для iOS и macOS.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Павел Дуров: ЕС едва не обязал Telegram и другие мессенджеры сканировать все переписки пользователей 6 мин.
YouTube научится синхронизировать автоматический дубляж с губами спикера 38 мин.
Франшиза Assassin's Creed осталась без руководителя — Марк-Алексис Коте покинул Ubisoft после 20 лет работы 44 мин.
Discord нашла виноватого в утечке данных пользователей — подрядчик заявил, что его не взламывали 2 ч.
Google Meet теперь умеет накладывать виртуальный макияж с помощью ИИ 2 ч.
Разработчики No, I’m not a Human похвастались продажами и посоветовали приготовиться к встрече новых гостей 3 ч.
Microsoft ответит в суде за слишком дорогую подписку ChatGPT 3 ч.
Instagram защитит подростков от ИИ и «взрослого» контента — фильтр PG-13 теперь включён по умолчанию 3 ч.
Google Gemini научился пересказывать содержимое страниц в мобильном Chrome 4 ч.
Microsoft начала сканировать лица на снимках в OneDrive — отказаться от этого можно лишь трижды в год 4 ч.
Oracle анонсировала крупнейший в мире зеттафлопсный ИИ-кластер OCI Zettascale10: до 800 тыс. ускорителей NVIDIA в нескольких ЦОД 51 мин.
Oracle купит 50 000 ИИ-ускорителей AMD — альтернатива Nvidia набирает обороты 2 ч.
OCP поможет в унификации чиплетов с применением открытых стандартов: Arm и Eliyan поделились наработками 3 ч.
Be quiet! представила компактный башенный кулер Pure Rock Slim 3 для процессоров до 130 Вт 4 ч.
Huawei выпустила 8-долларовую беспроводную мышь Enjoy Edition с автономностью до 12 месяцев 4 ч.
Motorola представила смартфон Moto G100 — Snapdragon 7s Gen 2 и батарея на 7000 мА·ч за $190 4 ч.
В спутниковой связи не оказалось шифрования — любой может перехватывать сообщения, звонки и трафик 4 ч.
Иностранные SIM-карты переохладили: блокировка в России не снимается через обещанные 24 часа 4 ч.
Ключевая для NASA лаборатория потеряла 10 % сотрудников — их просто уволили 4 ч.
ASML показала 20-летний рекорд выручки за сентябрь и привлекла внимание инвесторов 4 ч.