Mărește (credit: Aurich Lawson)
Vulnerabilitățile care au rămas nedetectate timp de un deceniu au lăsat mii de aplicații macOS și iOS susceptibile la atacuri în lanțul de aprovizionare. Hackerii ar fi putut adăuga cod rău intenționat, compromițând securitatea a milioane sau miliarde de oameni care le-au instalat, au spus cercetătorii luni.
Vulnerabilitățile, care au fost remediate în octombrie anul trecut, se aflau într-un server „trunk” folosit pentru a gestiona CocoaPods, un depozit pentru proiecte open source Swift și Objective-C de care depind aproximativ 3 milioane de aplicații macOS și iOS. Când dezvoltatorii efectuează modificări la unul dintre „pod-urile” lor – limbajul CocoaPods pentru pachetele de cod individuale – aplicațiile dependente de obicei le încorporează automat prin actualizări ale aplicațiilor, de obicei fără nicio interacțiune necesară de către utilizatorii finali.
Vulnerabilitati de injectare de cod
„Multe aplicații pot accesa informațiile cele mai sensibile ale unui utilizator: detaliile cardului de credit, dosarele medicale, materialele private și multe altele.” a scris cercetătorii de la EVA Information Security, firma care a descoperit vulnerabilitatea. „Injectarea de cod în aceste aplicații ar putea permite atacatorilor să acceseze aceste informații pentru aproape orice scop rău intenționat imaginabil – ransomware, fraudă, șantaj, spionaj corporativ… În acest proces, ar putea expune companiile la răspunderi legale majore și la riscuri reputaționale.”
Comentarii recente