Стало известно о значительной бреши в системе безопасности, затронувшей миллионы приложений для iOS и macOS, использующих CocoaPods, популярный репозиторий для интеграции стороннего кода.
Исследование компании EVA Information Security выявило уязвимости в CocoaPods, которые потенциально могут раскрыть конфиденциальные данные приложений, включая информацию о кредитных картах и медицинские записи пользователей.
Эксплойт был связан с небезопасным механизмом проверки электронной почты, используемым CocoaPods для аутентификации разработчиков своих библиотек. Злоумышленники могли манипулировать ссылками верификации для перенаправления на вредоносные серверы.
Получив уведомление, CocoaPods оперативно устранила уязвимости, сбросив сеансовые ключи и внедрив более строгие процедуры аутентификации. Этот инцидент произошел после аналогичной проблемы безопасности в 2021 году, когда злоумышленники могли манипулировать репозиториями для внедрения вредоносного кода в приложения для iOS и Mac, пишут СМИ.