3 000 000 приложений для iPhone и iPad оказались потенциально опасными

3 000 000 приложений для iPhone и iPad оказались потенциально опасными

На каждой своей презентации Apple не упускает возможности заявить о безопасности своих гаджетов, но в любом ПО можно найти уязвимость. И это в очередной раз доказали исследователи из компании EVA Information Security — им удалось обнаружить сразу три уязвимости, которым потенциально могли быть подтверждены миллионы или даже миллиарды пользователей на протяжении 10 лет.

Apple

Речь о примерно трёх миллионах приложений для iOS, iPadOS и macOS, разработчики которых пользовались репозиторием CocoaPods для проектов Swift и Objective-C с открытым исходным кодом. Дело в том, что когда разработчики вносят изменения в один из наборов кода на CocoaPods, связанные приложения зачастую автоматически получают их путём обновления. Все три обнаруженные уязвимости были связаны с механизмом проверки электронной почты, используемым для аутентификации разработчиков.

С помощью одной уязвимости злоумышленники могли менять ссылку в письме, чтобы перенаправлять жертву на собственный поддельный сервер. Вторая позволяла брать под контроль программные модули, которые были заброшены разработчиками, но продолжали работать внутри приложений. Оказалось, что любой, кто находил интерфейс к такому модулю, мог активировать его, чтобы получить контроль над ним без подтверждения права собственности. Наконец,  с помощью третьей уязвимости злоумышленники могли выполнять код на сервере для проверки уникальности зарегистрированных адресов электронной почты.

Отмечается, что со стороны разработчиков или пользователей приложений никакие действия сейчас не требуются, поскольку уязвимости уже устранены. А вот информация о том, использовались ли они злоумышленниками, не приводится.

Источник: arstechnica.com


  • strubus
    У устройств эпол не бывает уязвимостей, только фичи и эмейзинги.
    • PlusheviMedved
      Если в айфоне столько, то в андроиде вообще миллиард
      • strubus
        PlusheviMedved,
        А самое главное не андроиде уязвимости работают не так плавно как у эпл!
        • cosmmmic
          strubus,
          Сам андроид - одна большая уязвимость. Костыль на костыле, которому требуется снап 8ген100, чтобы просто не микрофризить анимации
          • strubus
            cosmmmic,
            Такие как вы в комментариях ругают андроид за микрофризы, а потом на форуме в ветке эпл жалуются что их 120 герц работают как 60 на реалми за 5 тысяч, и вообще что-то сеть после обновления отваливается
            • nnikitsin
              strubus, это ты с веткой дуги путаешь))
              • strubus,
                Да сеть и до обновления обваливается 🙄
                • strubus
                  RRDD,
                  Ну, наверное, приятней когда сеть отваливается не просто так, а после обновлений, которыми так гордятся пользователи?
              • whitebelyash
                cosmmmic,
                на SDM685/Adreno 610 фризов не заметил особо, после 120 гц айфон с его 60 гц.. ну как-то смешно выглядит. Вот правда.
                • Kasion
                  Ещё на редми нот 4х не было фризов со снап625 - если поставить АОСП. Потому что понаделают всякой миюйни, а потом да, и фризы и ещё чего только не поймаешь. ОС должна быть минималистичной, чтобы с root доступом не лезли левые приложения. Лучшим был андроид 4.4.
                • Eaton91
                  cosmmmic,
                  Ну а если установить бюджетный процессор для ios, микрофризов не будет?)
                  • cosmmmic
                    Eaton91,
                    Не будет. Возьми любой старый айфон на современной ОС и там нет микрофризов
                    • strubus
                      cosmmmic,
                      Кто-то кроме самого пользователя старого айфона это замечает? А если и заметит то это будет категория "божья роса"?
              • Lexxios
                PlusheviMedved,
                Да вообще, только симку воткнул, сразу банковские счета пустеют и 5 кредитов на тебя вешается. Так и живём, да.
                • 4i4i4iPi
                  PlusheviMedved,
                  Я опоздал на самолёт на пол часа, а сосед вообще на час. Так что ли?
                • DoktorGnid
                  strubus,
                  Отмечается, что со стороны разработчиков или пользователей приложений никакие действия сейчас не требуются, поскольку уязвимости уже устранены. А вот информация о том, использовались ли они злоумышленниками, не приводится.

                  Ты хоть статьи читай, а только заголовки, эка тебя штырит, ты хоть отдыхай периодически,на износ ведь
                  • (Комментарий удален)

                  • dmdimonof
                    strubus,
                    Дружище, ты читать-то умеешь?
                    Уязвимость то у нас где? Читаем - в "репозитории CocoaPods ... с открытым исходным кодом"

                    Так что вывод из написанного - уязвимость у тех, кто для написания своего софта использовал опенсорцовый репо (в котором она и содержалась)

                    А так, в целом - жги дальше, ты молодец!
                  • caxapo3a
                    "Вы не понимаете, это другое!"
                    • DoktorGnid
                      caxapo3a,
                      Конечно другое, читай статью до конца, это не ондроид
                      Отмечается, что со стороны разработчиков или пользователей приложений никакие действия сейчас не требуются, поскольку уязвимости уже устранены. А вот информация о том, использовались ли они злоумышленниками, не приводится.
                      • caxapo3a
                        DoktorGnid,
                        может тебе ещё и поимённый список сотрудников спецслужб (спалившихся через 10 лет) предоставить (с расписанием когда, где, у кого они использовали данные "уязвимости")? 😏
                        • DoktorGnid
                          caxapo3a,
                          Ах простите! Я не узнал вас майойёр Штырлиц
                        • grey_k1ller
                          DoktorGnid,
                          то есть на андроиде уязвимости не устраняет Google ежемесячными обновлениями, а сами разработчики приложений?
                          • DoktorGnid
                            grey_k1ller,
                            Не знаю, есть планшет самсунг, но там обновления на саму оболочку крайне редко прилетают, по программкам не могу сказать
                            • JcVai
                              grey_k1ller,
                              Так ведь тут речь не про уязвимости ОС, а про возможное получение стороннего доступа к репозиторию CocoaPods через ошибки в системе подтверждения электронной почты разработчика.
                              Т.е. о возможности внедрения своего кода в сторонние приложения, а не в систему.
                              В стиле: миллионы windows компьютеров под угрозой, так как я забил на свой проект с паролем 123456 на гитхабе и те, кто установят мое приложение могут пострадать - ведь код могли изменить злоумышленники.
                        • редкая сволочь
                          Все сообщения в вацапах и прочих мессенджерах о просьбе одолжить и перевести бабки только от взломанных ведроводов
                          • whitebelyash
                            редкая сволочь,
                            а мне вот реально стало интересно - неужель вирусня под андроед научилась управлять чужими приложениями?
                            • редкая сволочь
                              whitebelyash,
                              Вы друг друга ту поплюсуйте с комментарии пониже, но факт остаётся фактом.
                              • whitebelyash
                                редкая сволочь,
                                ты лучше на вопрос ответь, а не с темы съезжай.
                                • редкая сволочь
                                  whitebelyash,
                                  тыкайте своему дружку.
                              • JcVai
                                whitebelyash,
                                А код для андроид-приложений хостится строго только на работающих под андроид серверах или вы текст новости не смогли?
                              • caxapo3a
                                редкая сволочь,
                                радужные яблонаяриватели пишут такое будто-то заметка не про них, ага... 🤪
                                • Anokatos
                                  редкая сволочь,
                                  Ну разумеется, собирают себе на айфон
                                • Всё прекрасно
                                  Может, могло, если бы да кабы.
                                  А пострадавшие за эти 10 лет хоть были? Или так, пиар ради пиара?
                                  • Amadeus666
                                    Всё прекрасно,
                                    статья - вброс для привлечения ондроед-троллей и накрутки комментов, ничего нового, чёпыда как всегда )))

                                  Три месяца назад компания Neuralink впервые в истории вживила чип 29-летнему пациенту по имени Ноланд Арбо. Спустя ровно сто дней стартап Илона Маска сообщил, что часть мозгового импланта вышла из строя. Из-за этого компании пришлось срочно обновлять программное обеспечение.

                                   

                                  Издание Runet, ссылающееся на близкие к крупным российским видеохостингам источники, сообщает, что компания Google начала вводить технические меры, препятствующие массовому переносу или скачиванию роликов с YouTube. Эту информацию подтвердили разработчики видеохостинга «Платформа» и руководитель Ассоциации профессиональных пользователей соцсетей и мессенджеров Владимир Зыков.

                                   
                                  <div></div><a href='/2024/09/14/3741751/' target='_blank'><img src='https://i.4pda.ws/s/as6ywue3S4wsjFGg0z2I2iyY7kHEE0EmiXkPLY783uK3Miqm98HafRECC.jpg' title='' /></a><div ><img src='https://4pda.to/s/as6yu42hlyXjD7kQLqbvVMOGid.gif' /></div><div></div><div></div>

                                  Компания Ookla (разработчик приложения Speedtest) опубликовала актуальный рейтинг скорости мобильного интернета. За год Россия поднялась на 10 пунктов, заняв 86-ю строчку. Но улучшение позиции не связано с ростом качества инфраструктуры.

                                   

                                  Компания Google представила свой аналог сервиса Apple Find My для поиска потерянных смартфонов. Он работает без подключения к интернету, а некоторые гаджеты серии Pixel будут подавать «сигнал SOS» даже при выключенном питании. Представители компании рассказали главные подробности о новой технологии.

                                   

                                  Вскоре после анонса «вечного» манипулятора компания сделала объявление об отмене проекта. Представители Logitech заявили, что не планируют выводить устройство на рынок — правда, объяснение причины отмены продукта получилось не слишком исчерпывающим.

                                   

                                  В рамках давнего интернет-спора о необходимом геймерам объёме видеопамяти авторы YouTube канала Hardware Unboxed провели любопытный эксперимент. Они сравнили в играх версии GeForce RTX 4060 Ti с 8 и 16 ГБ памяти, но сделали это не на эталонной платформе для обзоров, а сымитировали апгрейд видеокарты на старых материнских платах с предыдущими версиями интерфейса PCIe. Как оказалось, это именно тот случай, когда «размер» VRAM имеет значение.

                                   

                                  Специалисты портала Android Authority обнаружили, что Google внедрила в операционную систему Android механизм проверки легальности приложений и игр. С его помощью разработчики смогут узнать, была ли программа загружена на устройство в обход магазина приложений Google Play.

                                   

                                  Специалисты «Лаборатории Касперского» обнаружили троян, который затронул Android-устройства россиян. Вирусу присвоили название LianSpy и уточнили, что используется он для сбора важной информации с заражённого гаджета.

                                   

                                  Как и было запланировано, в Китае состоялась презентация нового складного смартфона Honor Magic V3. Он отнял у своего предшественника звание самого тонкого устройства в своём классе. При этом аппарат стал мощнее, получил более качественные камеры и даже аккумулятор увеличенной ёмкости.

                                   

                                  Telegram-канал «Эксплойт» сообщил, что Google в последнее время не позволяет завершить регистрацию аккаунта, если для его подтверждения используется российский телефонный номер. Издание «Газета.ру» выяснило, с чем это может быть связано, и отыскало работающий способ регистрации.

                                   

                                  Компания Airbus отчиталась о тестировании прототипа высокоскоростного вертолёта Racer. Модели удалось превзойти свой предыдущий рекорд скорости. Для этого в нём используется необычная конструкция с дополнительными пропеллерами по бокам.

                                   

                                  В серии GTA одним из узнаваемых элементов является полиция и хаос, который разворачивается в городе с увеличением уровня розыска. Ветеран и бывший разработчик Rockstar решил объяснить, какие связанные с этим механики были спрятаны в легендарной Vice City.

                                   
                                  Госдума отменила «интернет-рабство», Mir Pay удалили из Google Play. Главное за неделю
                                  139
                                  30.03.24News

                                  Разбираем ключевые события прошедших семи дней. В этом выпуске: свежий закон о свободном доступе провайдеров связи, выселение Mir Pay из Google Play и наглядные причины перехода на iPhone 15.

                                   

                                  Немногие могут знать, но классический браузер Internet Explorer был настолько сильно интегрирован в операционную систему Windows XP, вышедшую в 2001 году, что некоторые функции ОС и приложения попросту не могли работать без него. Один разработчик решил показать это наглядно, сделав мод Windows XP, в котором полностью «вырезал» из ОС все основные компоненты IE.

                                   
                                  Названы страны с самыми низкими и высокими ценами на iPhone 16 Популярное

                                  Новый iPhone 16 поступит в продажу на следующей неделе, но уже известно, сколько он будет стоить в разных уголках мира. Портал Android Authority проанализировал цены на смартфон на официальном сайте Apple для разных стран, выяснив, где он стоит меньше и больше всего.

                                   

                                  На полках российских магазинов появились смартфоны vivo X100 и X100 Pro. Это гаджеты с топовыми характеристиками: они получили процессор Mediatek Dimensity 9300, защиту корпуса по стандарту IP68 и продвинутые камеры.

                                   
                                  Представлен iPhone 16 Pro: экран — больше, камеры — лучше, работает — дольше Популярное

                                  Главной звездой осенней презентации Apple стал iPhone 16 Pro. Смартфон стал крупнее за счёт увеличенного экрана, получил новую систему камер с выделенной кнопкой для управления съёмкой, самый мощный мобильный процессор и улучшенную автономность.

                                   
                                  Вышла прошивка One UI 6.1.1 с новыми функциями. Какие смартфоны её получат? Популярное

                                  Компания Samsung на выставке IFA 2024, помимо новых устройств, анонсировала обновление оболочки One UI до версии 6.1.1. Апдейт, содержащий несколько полезных нововведений, начал «прилетать» на некоторые смартфоны Samsung — их список уже известен.

                                   

                                  Инженер Карл Риис представил необычный проект под названием EarlGreyTV. Речь об устройстве с функциями Smart TV, которое, по словам его создателя, предоставляет «намного больше свободы» по сравнению с мейнстримовыми решениями. Правда, к реализации такого гаджета у неподготовленного пользователя могут возникнуть вопросы.

                                   

                                  В этом выпуске Инсайдов: Samsung откажется от «угловатого дизайна» в Galaxy S25 Ultra; iPhone 18 Pro и 18 Pro Max могут получить 2 ТБ памяти; Xiaomi 14T Pro протестировали в бенчмарке.

                                   

                                  Инсайдеры обнаружили в онлайн-магазине Amazon страницу, посвящённую предстоящему смартфону POCO F6 Pro. На ней оказались данные с характеристиками и стоимостью новинки в Европе.

                                   

                                  Премьера новинки состоялась в рамках ПМЭФ — компания показала автомобиль со всех сторон изнутри и снаружи. Заодно представитель бренда рассказал о характеристиках, позиционировании и философии дизайна фирменной новинки.

                                   
                                  Apple объявила дату выпуска iOS 18 и iPadOS 18. Какие устройства обновятся? Популярное

                                  Во время презентации iPhone 16 компания также сообщила, когда другие смартфоны и планшеты компании обновятся до iOS 18 и iPadOS 18. Заодно стал известен точный список фирменных устройств, которые в этом году гарантированно получат обновление прошивки.

                                   
                                  Умный дом «Яндекс» без интернета: как работает Matter over Wi-Fi?
                                  34
                                  15.05.24News

                                  В апреле компания «Яндекс» представила свои первые устройства с поддержкой протокола Matter over Wi-Fi: умную светодиодную ленту и умную розетку, которые способны работать без подключения к интернету. Мы проверили возможности новинок в разных режимах и сценариях. 

                                   
                                  Представлены умные гантели Julu, меняющий свой вес Популярное

                                  Компания Julu Smart Tech представила умные регулируемые гантели с поддержкой цифровых функций. Разработка способна менять свой вес в диапазоне от 2,7 кг до 16,3 кг, поэтому подойдёт как для лёгких тренировок с малой нагрузкой, так и для интенсивных занятий.

                                   

                                  Китайские суперфлагманы — особая категория устройств. В Россию они обычно попадают благодаря маркетплейсам и перекупщикам, а на улице вызывают неподдельный интерес — слишком уж редки они для наших широт. В редакцию приехал OPPO Find X7 Ultra. Это топовый смартфон, который получил едва ли не самый продвинутый набор камер в мире.

                                   

                                  Считается, что экранизации видеоигр из 90-х и 00-х откровенно плохи: дескать, лишь недавно Голливуд наконец-то понял, как правильно адаптировать такой материал под большой и малый экраны. Однако ностальгия — штука мощная, поэтому некогда раскритикованные прессой и геймерами ленты прошлого сегодня обрели народную любовь.

                                   

                                  Ассортимент периферийных устройств компании Logitech пополнился новой беспроводной мышью G309. Новинка поддерживает подзарядку от ковриков PowerPlay, Lightspeed или работает от AA-батареек. Обойдётся устройство менее чем в $100.

                                   

                                  Сотрудники Политехнического института SUNY в Нью-Йорке представили покрытие, способное свести к минимуму трение в металлических деталях. Открытие позволит производителям добиться большей экономии топлива и увеличить срок службы движущихся компонентов в технике.

                                   

                                  Согласно появившейся информации, ситуация с замедлением работы YouTube в России может разрешиться уже до конца этой недели. Об этом, ссылаясь на слова знакомых с ситуацией источников, сообщил главный редактор Mobile Research Group Эльдар Муртазин.

                                   

                                  Портал XDA-Developers составил любопытный «антирейтинг» потребительских видеокарт, в который вошли восемь моделей, признанных изданием худшими за всю историю. При этом «почётное» первое место в получившемся списке заняла сравнительно недавняя модель производства AMD.

                                   

                                  Авторы YouTube-канала RetroGamingBase провели необычный эксперимент. Блогеры превратили классический ЭЛТ-монитор в «киберспортивный» с частотой обновления, превышающей возможности современных игровых флагманов. Правда, без подводных камней такой «разгон» всё же не обошёлся.

                                   
                                  Три года на рынке РФ — в чём секрет популярности смартфонов Infinix?
                                  85
                                  18.07.24News

                                  Смартфоны Infinix дебютировали в России в 2021-м и за три года прочно закрепились на нашем рынке. Гаджеты этой компании регулярно попадают в топы самых продаваемых устройств в РФ. Какие передовые решения вобрали в себя телефоны Infinix и что могут предложить пользователям различные линейки бренда?