Израильская компания по кибербезопасности и тестированию EVA Information Security обнаружила ошибку в Cocoapods, широко используемом менеджере зависимостей для программных проектов, написанных на языках программирования Swift и Objective-C.

Dependency Manager — важный инструмент в процессе разработки программного обеспечения, позволяющий выполнять аутентификацию и криптографическое подписание пакетов программного обеспечения. Следовательно, проблема с таким инструментом может негативно повлиять на многие части программного обеспечения или сети.

По данным EVA Information Security, проблема могла существовать с 2014 года в результате неудачной миграции сервера Cocoapods, в результате которой тысячи пакетов библиотек программного обеспечения больше не были связаны с исходными файлами и их невозможно было отследить до источника. Это лазейка, которая позволяет злоумышленникам заменить оригинальный исходный код своим собственным вредоносным кодом.

«Из-за недостатков безопасности системы эти пакеты могут быть перехвачены злоумышленниками, а затем использованы для внедрения вредоносного ПО в инструменты разработки ПО для разработчиков. Поскольку они не были обнаружены в течение длительного времени, это означает, что за эти годы были уязвимы тысячи приложений и миллионы устройств», — заявил представитель компании.

Поскольку многие приложения имеют доступ к конфиденциальной информации пользователей, такой как данные кредитных карт, медицинские записи, личные документы, хакеры могут воспользоваться уязвимостями, установить программы-вымогатели или другие типы вредоносного ПО для ее сбора.

EVA Information Security полагает, что Apple находится «в центре беспорядка», поскольку большинство приложений iOS и macOS написаны на языках Swift и Objective-C, включая такие популярные названия, как TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger.

В результате могут пострадать тысячи приложений на этих платформах. Атака на экосистему мобильных приложений может заразить большинство устройств Apple, сделав тысячи организаций уязвимыми в финансовом и репутационном плане.

Сообщается, что Cocoapods исправили ошибки, но тот факт, что они оставались незамеченными в течение почти десятилетия, вызывает беспокойство. EVA Information Security рекомендует разработчикам проверять исходный код своих продуктов, чтобы определить, уязвимо ли программное обеспечение к ошибкам.

Apple пока не прокомментировала эту новость.