Миллионы приложений для iPhone и Mac были уязвимы перед хакерами на протяжении 10 лет из-за критических брешей. Эксплойты были обнаружены в репозитории с открытым исходным кодом CocoaPods, используемом многими популярными приложениями для гаджетов Apple, говорится в отчете специалистов E.V.A Information Security.
Первая уязвимость, обозначенная как CVE-2024-38368, оценена в 9,3 балла по шкале CVSS. Она позволяет злоумышленникам получить контроль над пакетами программного обеспечения через процесс Claim Your Pods. Для этого атакующий должен удалить всех предыдущих разработчиков из проекта. Проблема уходит корнями в 2014 год, когда миграция на сервер Trunk оставила без владельцев тысячи пакетов, что позволило недобросовестным пользователям использовать общедоступный API и адрес электронной почты для захвата контроля над ними.
Вторая уязвимость, CVE-2024-38366, получила максимальную оценку в 10 баллов и связана с небезопасным механизмом верификации электронной почты, что дает возможность выполнения кода на сервере и замены целевых пакетов.
Третья уязвимость, CVE-2024-38367 с оценкой 8,2 балла, включает в себя манипуляцию с процессом верификации электронной почты, позволяя злоумышленникам перенаправлять запросы на вредоносные домены для кражи токенов сессии. Это может привести к атакам даже без каких-либо действий со стороны пользователя.
Команда CocoaPods отреагировала на угрозы, выпустив патчи для устранения уязвимостей еще в октябре 2023 года и проведя сброс сессий всех пользователей для предотвращения возможных атак, однако об этой ситуации стало известно лишь в начале июля.