iOS a macOS: Miliony aplikací byly ohroženy bezpečnostní zranitelností

Zdroj: Dotekomanie.cz

Všeobecně se uvádí, že iOS je bezpečnější operační systém, jelikož si sám Apple zakládá na přísných podmínkách, kontrolách, atd. Pravdou ale je, že se jedná jen o software, který není dokonalý a má své zranitelnosti, které se postupně objevují, případně se dochází na modernější způsoby narušení bezpečnosti. Nyní se podařilo objevit zranitelnost, která ohrozila miliony aplikací.

Chyba v CocoaPods

Tentokrát se nejedná o zranitelnost, která by se přímo objevila najednou u milionů aplikací. Společnost EVA Information Security odhalila celkem tři zranitelnosti v CocoaPods, což je nástroj pro správu knihoven a závislostí. CocoaPods je poměrně oblíbený nástroj u vývojářů, takže jakákoliv zranitelnost má dopad na velké množství aplikací.

Problém se nacházel v samotném e-mailovém ověřovacím systému u CocoaPods a vytváření odkazů. Chyby umožňovaly zmanipulovat samotný odkaz tak, aby směřoval na server útočníka, což ve výsledku mělo umožnit přístup k soukromým údajům. Dokonce tento problém mohl postihnout miliony aplikací a útočníci se mohli dostat k informacím o uživatelích.

cocoapods manipulated email verification 640x360 640x360x

Zdroj: arstechnica

Vzhledem k tomu, že se problém nacházel v jednom z hlavních serverů a systémů CocoaPods, tak zdařilý útok mohl vést k narušení bezpečnosti mnoha aplikací. Navíc zde nebyla potřeba další interakce ze strany vývojářů nebo samotných uživatelů. Dle bezpečnostní firmy existoval problém 10 let a nikdo si toho nevšiml. Sice nejsou jakékoliv záznamy o zneužívání, ale je docela pravděpodobné, že útočníci používali tuto metodu získávání dat.

V tuto chvíli jsou systémy CocoaPods zabezpečeny a nelze využívat tuto starou zranitelnost. Nejedná se ale o první takový problém. Problémy s bezpečností už byly u CocoaPods. Vývojáři by tedy měli být ostražití a nespoléhat se jen na jednom nabízeném řešení.

Zdroje: arstechnica.com, 9to5mac.com