Te podatności pozwalały zagnieżdżać hakerom malware w aplikacjach macOS i iOS

Ta wiadomość powinna zainteresować użytkowników urządzeń macOS i iOS. Okazuje się, że przez blisko dziesięć lat w uruchamianych na nich aplikacjach mógł znajdować się malware, który był wykorzystywany przez hakerów.

Podatności zostały zlikwidowana kilkanaście miesięcy temu, ale fakt ten ujawniono dopiero teraz. Znajdowały się w serwerze pełniącym rolę repozytorium, w którym deweloperzy przechowują projekty open source tworzone przez użyciu języków programowania Swift i Objective-C. W repozytorium przechowywane są robocze projekty kodu noszące nazwę CocoaPods i to właśnie one były atakowane przez hakerów.

Ogółem zidentyfikowana trzy podatności, które zostały zlikwidowane pod koniec zeszłego roku. Najgroźniejsza z nich została oznaczona symbolem CVE-2024-38366 (10 punktów w skali złośliwości CVSS). Podatność wykorzystuje niezabezpieczony proces weryfikacji poczty elektronicznej w celu uruchomienia dowolnego kodu na serwerze Trunk, który można następnie wykorzystać do manipulowania pakietami lub do ich zamiany.

Zobacz również:

  • Google oferuje łatwiejsze włączanie zaawansowanej ochrony konta
  • Apple iPhone 16 ma wprowadzić wiele zmian. Nie tylko AI, ale też inny design
  • Komputery Mac w biznesie - ile pamięci operacyjnej wybrać?

Druga podatność została oznaczona symbolem CVE-2024-38368 (9,3 punktów w skali złośliwości CVSS). Pozwala ona atakującemu przejmować kontrolę nad procesem Claim Your Pods, dzięki czemu haker może wprowadzać do kodu źródłowego dowolne poprawki, infekując w ten sposób aplikację.

W serwerze zidentyfikowano również trzeci problem w komponencie weryfikacji adresu e-mail (CVE-2024-38367, wynik CVSS: 8,2), który może skłonić odbiorcę do kliknięcia pozornie nieszkodliwego linku weryfikacyjnego, podczas gdy w rzeczywistości przekierowuje on żądanie do domeny kontrolowanej przez osobę atakującą w celu uzyskania dostępu do tokenów sesji programisty.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200