Критические бреши в CocoaPods угрожают приложениям для iOS и macOS

Критические бреши в CocoaPods угрожают приложениям для iOS и macOS

Критические бреши в CocoaPods угрожают приложениям для iOS и macOS

Исследователи выявили три уязвимости в CocoaPods, менеджере зависимости для проектов на Swift и Objective-C Cocoa. Эти бреши позволяют провести атаку на цепочку поставок софта, что ставит огромное количество пользователей iOS и macOS в зону риска.

Как объясняет Риф Спектор из E.V.A Information Security, обнаруженные уязвимости позволяет любому злоумышленнику внедрить вредоносный код во многие популярные приложения для iOS и macOS.

Утверждается также, что команда CocoaPods пропатчила три дыры в октябре 2023 года. Дополнительно компания сбросила сессии всех пользователей.

Одна из уязвимостей, получившая идентификатор CVE-2024-38368 и 9,3 балла по шкале CVSS, позволяет атакующему задействовать процесс «Claim Your Pods» и получить контроль над пакетом софта.

В этом случае условный киберпреступник может изменить исходный код, добавив туда вредоносную составляющую. Однако для успешной эксплуатации все предыдущие разработчики должны быть удалены из проекта.

Причины появления CVE-2024-38368 уходят корнями аж в 2014 год, когда миграция на сервер Trunk оставила тысячи пакетов без владельцев. Недобросовестные пользователи могли задействовать общедоступный API и адрес электронной почты unclaimed-pods@cocoapods.org для получения контроля над такими пакетами.

Вторая уязвимость еще более опасна — CVE-2024-38366. Она получила 10 баллов по шкале CVSS и позволяет использовать небезопасный механизм верификации имейла. В результате появляется возможность выполнить код на сервере и заменить целевые пакеты.

 

Кстати, процесс верификации электронной почты затрагивает и третья брешь — CVE-2024-38367 (8,2 балла по шкале CVSS). Злоумышленник может заставить получателя кликнуть по безобидной с виду ссылки для верификации, однако на деле этот URL перенаправит запрос на вредоносный домен, задача которого — получить токены сессии.

Хуже того, спуфинг заголовка HTTP и эксплуатация неправильно настроенных средств защиты почты может превратить эту брешь в 0-click.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сообщения в iOS 26 отключают ссылки и ответы в спам-сообщениях

Даже продвинутые пользователи могут попасться на хорошо подготовленную фишинговую СМС. Но большинство таких атак всё же рассчитано на менее техничных людей. Именно для них в iOS 26 появилось кое-что важное в приложении «Сообщения».

Теперь все сообщения в Messages будут разбиты на категории: «Сообщения», «Неизвестные отправители», «Спам» и «Недавно удалённые».

Основной экран показывает переписки с контактами, СМС с кодами подтверждения и, например, брони. А вот сообщения от незнакомцев или спам — отдельно и без уведомлений.

Источник: 9to5mac

 

Фильтры можно включать и отключать вручную через «Управление фильтрами» в верхнем правом углу. Сообщения от неизвестных отправителей можно пометить как доверенные, а подозрительные — наоборот, вернуть в основной список и отметить как «не спам», если система ошиблась.

Но самое интересное начинается в папке «Спам». Apple вводит два ограничения, которые серьёзно усложнят жизнь фишерам:

  1. Ссылки отключены. Всё, что выглядит как номер телефона или URL, больше нельзя будет просто так тапнуть. Это поможет не позвонить случайно в мошеннический кол-центр и не попасть на вредоносный сайт.
  2. Ответить на такие сообщения тоже нельзя. Если пользователь всё же захочет вступить в переписку, нужно будет вручную переместить сообщение из «Спама» в основной список. Казалось бы, мелочь, но именно такая «лишняя кнопка» может спасти от импульсивного ответа мошеннику.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru