На каждой своей презентации Apple не упускает возможности заявить о безопасности своих гаджетов, но в любом ПО можно найти уязвимость. И это в очередной раз доказали исследователи из компании EVA Information Security — им удалось обнаружить сразу три уязвимости, которым потенциально могли быть подтверждены миллионы или даже миллиарды пользователей на протяжении 10 лет.
Речь о примерно трёх миллионах приложений для iOS, iPadOS и macOS, разработчики которых пользовались репозиторием CocoaPods для проектов Swift и Objective-C с открытым исходным кодом. Дело в том, что когда разработчики вносят изменения в один из наборов кода на CocoaPods, связанные приложения зачастую автоматически получают их путём обновления. Все три обнаруженные уязвимости были связаны с механизмом проверки электронной почты, используемым для аутентификации разработчиков.
С помощью одной уязвимости злоумышленники могли менять ссылку в письме, чтобы перенаправлять жертву на собственный поддельный сервер. Вторая позволяла брать под контроль программные модули, которые были заброшены разработчиками, но продолжали работать внутри приложений. Оказалось, что любой, кто находил интерфейс к такому модулю, мог активировать его, чтобы получить контроль над ним без подтверждения права собственности. Наконец, с помощью третьей уязвимости злоумышленники могли выполнять код на сервере для проверки уникальности зарегистрированных адресов электронной почты.
Отмечается, что со стороны разработчиков или пользователей приложений никакие действия сейчас не требуются, поскольку уязвимости уже устранены. А вот информация о том, использовались ли они злоумышленниками, не приводится.
Источник:
А самое главное не андроиде уязвимости работают не так плавно как у эпл!
Сам андроид - одна большая уязвимость. Костыль на костыле, которому требуется снап 8ген100, чтобы просто не микрофризить анимации
Такие как вы в комментариях ругают андроид за микрофризы, а потом на форуме в ветке эпл жалуются что их 120 герц работают как 60 на реалми за 5 тысяч, и вообще что-то сеть после обновления отваливается
Да сеть и до обновления обваливается 🙄
Ну, наверное, приятней когда сеть отваливается не просто так, а после обновлений, которыми так гордятся пользователи?
на SDM685/Adreno 610 фризов не заметил особо, после 120 гц айфон с его 60 гц.. ну как-то смешно выглядит. Вот правда.
Ну а если установить бюджетный процессор для ios, микрофризов не будет?)
Не будет. Возьми любой старый айфон на современной ОС и там нет микрофризов
Кто-то кроме самого пользователя старого айфона это замечает? А если и заметит то это будет категория "божья роса"?
Да вообще, только симку воткнул, сразу банковские счета пустеют и 5 кредитов на тебя вешается. Так и живём, да.
Я опоздал на самолёт на пол часа, а сосед вообще на час. Так что ли?
Отмечается, что со стороны разработчиков или пользователей приложений никакие действия сейчас не требуются, поскольку уязвимости уже устранены. А вот информация о том, использовались ли они злоумышленниками, не приводится.
Ты хоть статьи читай, а только заголовки, эка тебя штырит, ты хоть отдыхай периодически,на износ ведь
(Комментарий удален)
Дружище, ты читать-то умеешь?
Уязвимость то у нас где? Читаем - в "репозитории CocoaPods ... с открытым исходным кодом"
Так что вывод из написанного - уязвимость у тех, кто для написания своего софта использовал опенсорцовый репо (в котором она и содержалась)
А так, в целом - жги дальше, ты молодец!
Конечно другое, читай статью до конца, это не ондроид
Отмечается, что со стороны разработчиков или пользователей приложений никакие действия сейчас не требуются, поскольку уязвимости уже устранены. А вот информация о том, использовались ли они злоумышленниками, не приводится.
может тебе ещё и поимённый список сотрудников спецслужб (спалившихся через 10 лет) предоставить (с расписанием когда, где, у кого они использовали данные "уязвимости")? 😏
Ах простите! Я не узнал вас майойёр Штырлиц
то есть на андроиде уязвимости не устраняет Google ежемесячными обновлениями, а сами разработчики приложений?
Не знаю, есть планшет самсунг, но там обновления на саму оболочку крайне редко прилетают, по программкам не могу сказать
Так ведь тут речь не про уязвимости ОС, а про возможное получение стороннего доступа к репозиторию CocoaPods через ошибки в системе подтверждения электронной почты разработчика.
Т.е. о возможности внедрения своего кода в сторонние приложения, а не в систему.
В стиле: миллионы windows компьютеров под угрозой, так как я забил на свой проект с паролем 123456 на гитхабе и те, кто установят мое приложение могут пострадать - ведь код могли изменить злоумышленники.
а мне вот реально стало интересно - неужель вирусня под андроед научилась управлять чужими приложениями?
Вы друг друга ту поплюсуйте с комментарии пониже, но факт остаётся фактом.
ты лучше на вопрос ответь, а не с темы съезжай.
тыкайте своему дружку.
А код для андроид-приложений хостится строго только на работающих под андроид серверах или вы текст новости не смогли?
радужные яблонаяриватели пишут такое будто-то заметка не про них, ага... 🤪
Ну разумеется, собирают себе на айфон
А пострадавшие за эти 10 лет хоть были? Или так, пиар ради пиара?
статья - вброс для привлечения ондроед-троллей и накрутки комментов, ничего нового, чёпыда как всегда )))