Сегодня 22 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → cocoapods

Миллионы приложений для iOS и macOS оказались под угрозой взлома из-за уязвимости в CocoaPods

Специалисты в сфере информационной безопасности из EVA Information Security обнаружили несколько уязвимостей в менеджере зависимостей CocoaPods, с помощью которого разработчики могут переносить функции из других приложений в свои. Проблема затронула около 3 млн приложений для iOS и macOS, которые используют в своей работе CocoaPods.

 Источник изображения: 9to5mac.com

Источник изображения: 9to5mac.com

Эксплуатация этих уязвимостей может привести к тому, что злоумышленники получат доступ к конфиденциальным данным приложений, включая номера банковских карт пользователей, медицинские записи и др. Такая информация может использоваться для совершения ряда преступлений, таких как мошенничество, шантаж и корпоративный шпионаж.

Согласно имеющимся данным, уязвимости связаны с механизмом проверки подлинности электронной почты, который используется для аутентификации разработчиков отдельных библиотек. Например, злоумышленник может изменить URL-адрес в ссылке для проверки, чтобы она перенаправляла на вредоносный сервер. Разработчики CocoaPods исправили все обнаруженные уязвимости после получения соответствующего сообщения от EVA.

Отметим, что это не первый случай, когда в CocoaPods находят опасные уязвимости. В 2021 году разработчики подтвердили наличие уязвимости, которая позволяла репозиториям CocoaPods запускать произвольный код на серверах, которые им управляют. Такая ошибка могла использоваться злоумышленниками для подмены легитимного кода вредоносными пакетами, которые в конечном счёте могли оказаться в приложениях для iOS и macOS.


window-new
Soft
Hard
Тренды 🔥
OpenAI раскрыла масштабы популярности ChatGPT: каждый день бот получает 2,5 млрд запросов 3 ч.
Microsoft реализовала на ПК и консолях Xbox кроссплатформенную историю запущенных игр, но пока не для всех 4 ч.
Календарь релизов —21–27 июля: Killing Floor 3, Wuchang: Fallen Feathers и The King is Watching 4 ч.
Дуров призвал сообщать ему о вымогателях в Telegram, охотящихся за подарками — но это не бесплатно 5 ч.
Сэм Альтман: к концу года ChatGPT будет работать на миллионе GPU, а в будущем — на ста миллионах 5 ч.
Спустя два года после релиза в Avatar: Frontiers of Pandora всё-таки добавят функции, которые фанаты просили больше всего 6 ч.
Microsoft ускорила запуск приложений Office, но это может замедлить загрузку Windows 7 ч.
Цензура была не зря: Ready or Not продаётся на PS5, Xbox Series X и S в 10 раз быстрее, чем на ПК 7 ч.
X отказалась раскрывать рекомендательный алгоритм и данные о публикациях французской прокуратуре 8 ч.
Evolve от создателей Left 4 Dead могла получить продолжение — художник показал концепт-арты отменённой Evolve 2 8 ч.
Новая статья: Система жидкостного охлаждения MSI MAG CoreLiquid A13 360: добавляем в закладки ещё одну 2 ч.
Амстердам и Франкфурт выбыли из первой двадцатки локаций гиперскейлеров 6 ч.
Ryzen Threadripper Pro 9995WX разогнали до 5 ГГц на всех 96 ядрах: 950 Вт потребления и 186 тыс. баллов в Cinebench R23 7 ч.
Tesla попытается остановить падение продаж электромобилей скидками, бесплатной зарядкой и другими бонусами 7 ч.
AMD обучила ноутбуки на Ryzen AI безоблачной генерации изображений в Stable Diffusion 7 ч.
Сегодня открылся ресторан Tesla Diner — среди сотрудников оказался робот Optimus 7 ч.
xAI ищет разработчиков кастомных чипов для ИИ-систем 7 ч.
Носовые волоски вдохновили инженеров на создание пылевого фильтра будущего со «слизистой» — внутри ПК станет чище 8 ч.
По стопам Nvidia: TSMC первой из азиатских компаний достигла капитализации в $1 трлн 8 ч.
Запущен самый мощный в Великобритании ИИ-суперкомпьютер — комплекс Isambard-AI 10 ч.