Владельцы iPhone в опасности? Найдена критическая уязвимость, которая позволяет взломать миллионы приложений
Безопасность — главный приоритет компании Apple. Вот уже несколько лет яблочная компания устанавливает в свою технику специальные защитные чипы, а на каждой презентации рассказывает, как много трудится над конфиденциальностью данных пользователей.
И это тот редкий случай, когда слова не расходятся с делом. Для проверки своих систем Apple нанимает хакеров, а несмотря на критику Илона Маска, продолжает оставаться верной себе, давая пользователю выбор — делиться или нет личными данными.
Тем не менее, даже такие гиганты не защищены от хакерских атак. Apple не может контролировать все ПО, которое выпускается на их платформах, потому что речь идет о миллионах приложений. Поэтому неудивительно, что иногда хакерам удается получить доступ к ценным данным через уязвимости в приложениях, установленных на iPhone.
О нескольких таких уязвимостях стало известно совсем недавно. Эксперты компании EVA Information Security обнаружили сразу три серьёзные уязвимости в менеджере зависимостей CocoaPods для проектов на Swift и Objective-C Cocoa. Уязвимости ставят под угрозу множество приложений, созданных разработчиками для техники Apple, работающих под управлением iOS и macOS.
Без погружения в технические детали: CocoaPods — это менеджер зависимостей приложений для Objective-C, Swift и любых других языков, которые работают на среде выполнения Objective-C. Он нужен для того, чтобы быстро и без лишних проблем интегрировать сторонний код в свои приложения через библиотеки с открытым исходным кодом. Прелесть метода в том, что при обновлении библиотеки, все, что было интегрировано разработчиком в приложении, также будет обновлено. Это существенно упрощает работу, позволяя сфокусироваться на других задачах.
Судя по всему, около трех миллионов приложений могли быть взломаны хакерами, а с помощью уязвимости те могли без труда получить данные о человеке, включая номера и пин-коды его банковских карт. К счастью, за 10 лет существования уязвимости, хакеры ею так и не воспользовались. По крайней мере, публично информации о взломе iPhone таким методом нигде не сообщалось.
Уязвимости, обнаруженные EVA, были связаны с небезопасным механизмом проверки электронной почты, используемым для аутентификации разработчиков отдельных модулей.
Так злоумышленники могли манипулировать URL-адресом в ссылке, чтобы она указывала на сервер, находящийся под контролем мошенника. Сервер принял поддельный XFH, HTTP-заголовок для идентификации целевого хоста, указанный в HTTP-запросе. Исследователи EVA обнаружили, что они могут использовать поддельный XFH для создания URL-адресов по своему выбору, а ничего не подозревающий человек оставит им свои данные.
Но сейчас причин для беспокойства нет: об этих уязвимостях рассказали непросто так. Они уже все исправлены, поэтому хакеры не смогут причинить вам никакого вреда. Так что смартфоны Apple снова самые безопасные в мире.