Сегодня 01 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → cocoapods

Миллионы приложений для iOS и macOS оказались под угрозой взлома из-за уязвимости в CocoaPods

Специалисты в сфере информационной безопасности из EVA Information Security обнаружили несколько уязвимостей в менеджере зависимостей CocoaPods, с помощью которого разработчики могут переносить функции из других приложений в свои. Проблема затронула около 3 млн приложений для iOS и macOS, которые используют в своей работе CocoaPods.

 Источник изображения: 9to5mac.com

Источник изображения: 9to5mac.com

Эксплуатация этих уязвимостей может привести к тому, что злоумышленники получат доступ к конфиденциальным данным приложений, включая номера банковских карт пользователей, медицинские записи и др. Такая информация может использоваться для совершения ряда преступлений, таких как мошенничество, шантаж и корпоративный шпионаж.

Согласно имеющимся данным, уязвимости связаны с механизмом проверки подлинности электронной почты, который используется для аутентификации разработчиков отдельных библиотек. Например, злоумышленник может изменить URL-адрес в ссылке для проверки, чтобы она перенаправляла на вредоносный сервер. Разработчики CocoaPods исправили все обнаруженные уязвимости после получения соответствующего сообщения от EVA.

Отметим, что это не первый случай, когда в CocoaPods находят опасные уязвимости. В 2021 году разработчики подтвердили наличие уязвимости, которая позволяла репозиториям CocoaPods запускать произвольный код на серверах, которые им управляют. Такая ошибка могла использоваться злоумышленниками для подмены легитимного кода вредоносными пакетами, которые в конечном счёте могли оказаться в приложениях для iOS и macOS.


window-new
Soft
Hard
Тренды 🔥
С 1 ноября клиентов гиперскейлеров вынудят покупать лицензии на VMware напрямую у Broadcom 8 ч.
Редактор видео Adobe Premier стал доступен на iOS — бесплатно 10 ч.
Грандиозный мод Fallout: London для Fallout 4 получил большое бесплатное дополнение с 30 новыми квестами и блэкджеком 10 ч.
«Недостающая подушка безопасности»: в «Google Диск» встроили ИИ-защиту от программ-вымогателей 10 ч.
OpenAI представила Sora 2 — ИИ-генератор видео с реалистичной физикой и логикой, а также возможностью встроить в ролик самого себя 10 ч.
Вторая глава, повышение максимального уровня, отключаемый интерфейс и многое другое: для Titan Quest 2 вышло первое крупное обновление 12 ч.
Соавтор Disco Elysium устроит из анонса новой игры событие мирового масштаба — Summer Eternal готовит необычную презентацию Red Rooster 13 ч.
Российский суд оштрафовал Microsoft и Telegram на 3,5 млн рублей каждую, а Apple — на 7 млн 14 ч.
Основатель и глава Spotify внезапно объявил об уходе в отставку 14 ч.
Команды разработчиков Windows воссоединились после шестилетней работы порознь 14 ч.