Nebezpečná zranitelnost, možná i na vašem telefonu
Zranitelnost se může týkat celé řady aplikací, a to i těch, které operují s citlivými uživatelskými daty, jako jsou údaje ke kreditním kartám, lékařským záznamům, zprávám, obrázkům a podobně. Podle bezpečnostní společností EVA Information Security hrozí, že hackeři nasadí zranitelnost právě do těchto aplikací, díky čemuž pak budou schopní ke zmíněným datům volně přistupovat.
„Injektování kódu do těchto aplikací by mohlo útočníkům umožnit přístup k těmto informacím za téměř jakýmkoli myslitelným škodlivým účelem – vyděračský software, podvody, vydírání, firemní špionáž… Přitom by to mohlo společnosti vystavit velkým právním závazkům a riziku poškození pověsti,“ stojí ve varování EVA.
Tři zranitelnosti objevené agenturou EVA vyplývají z nezabezpečeného mechanismu ověřovacích e-mailů, který se používá k ověřování vývojářů jednotlivých modulů. Vývojář zadal e-mailovou adresu spojenou s jeho podem.
Kmenový server reagoval odesláním odkazu na tuto adresu. Když osoba na odkaz klikla, získala přístup k účtu. Pokud podvodník zmanipuloval adresu a převedl odkaz na svůj server, mohl jednoduše vstoupit do vývojářského rozhraní a do aplikací umístit kritickou zranitelnost.
Jakých aplikací se týká?
Kyberexperti přímo nezmiňují, jaké aplikace mohou být zranitelností ovlivněny. Má však jít o aplikace vyvinuté pomocí Swift a Objective-C, které využívají rozhraní CocoaPods (správce závislostí pro projekty vývoje iOS, macOS a tvOS aplikací). Z praxe víme o mnoha takových aplikacích, jako například Instagram, Airbnb nebo LinkedIn.
Podle odborníků z EVA se zranitelnost může potenciálně dotýkat až 3 milionů uživatelů. Zatím ale nebyl nahlášen skutečný případ napadnutí. Nicméně hrozba je to velká, aplikace napadené touto zranitelností se mohou nacházet na iPhonech, počítačích Mac, Apple TV nebo hodinkách Apple Watch. Výrobce v tuto chvíli nijak nereagoval.
Zdroj: EVA, ArsTechnica