Новости Software

Найден неординарный способ взлома Apple, Microsoft и других компаний — через репозитории с открытым ПО

Исследователь в области безопасности Алекс Бирсан (Alex Birsan) нашёл серьёзную брешь в сервисах Microsoft, Netflix, Apple, Tesla и Uber. Проблема кроется в использовании программного обеспечения с открытым исходным кодом. Об этом сообщает 9to5Mac со ссылкой на портал Bleeping Computer.

Источник изображения: Alex Birsan

Источник изображения: Alex Birsan

Атака включает в себя загрузку вредоносных программ в репозитории с открытым исходным кодом (такие, как PyPI, npm и RubyGems), которые используются многими технологическими компаниями. В отличие от традиционных хакерских атак, данный метод не требует социальной инженерии и вмешательства других людей, помимо хакера.

Процесс внедрения происходит автоматически — для этого лишь необходимо подделать имя вредоносной программы под наименование софтверного пакета, находящегося в репозитории. После чего дописать номер версии, который будет выше актуального. Данная возможность существует из-за путаницы в зависимости файлов репозитория. Говоря простым языком — чтобы все элементы программного обеспечения работали связно, нужно, чтобы сохранялась целостность, поэтому репозитории при загрузке вредоносных пакетов принимают их за часть обновления и устанавливают их.

Конечно же, Алекс загружал в репозитории пакеты без какого-либо вредоносного кода, однако своим экспериментом он смог указать IT-гигантам на недостатки безопасности и помочь им с их исправлением. На данный момент он получил вознаграждений на сумму $130 тыс. Компания Apple заявляет, что вскоре тоже заплатит умельцу за его работу.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Инвесторы TON потребовали от Павла Дурова возместить десятки миллионов долларов убытков 15 мин.
После отстранения от разработки Vampire: The Masquerade — Bloodlines 2 по Hardsuit Labs прокатилась волна увольнений 22 мин.
Видео: фанаты склеили попавший в Сеть трейлер Elden Ring и выяснили его назначение 2 ч.
В PS Store началась раздача Ratchet & Clank — игру можно присвоить себе навсегда 3 ч.
Консольная версия Rust получила тизер-трейлер к старту закрытой «беты» 3 ч.
Утечка: Katana ZERO и Demon Turf появятся на консолях PlayStation 3 ч.
The Binding of Isaac: Repentance выйдет на PS4, PS5 и Switch во второй половине года 3 ч.
Instagram представила Live Rooms — прямые трансляции с четырьмя участниками и возможностью монетизации 14 ч.
Студия-разработчик Need for Speed возьмёт годичный перерыв, чтобы помочь создателям следующей Battlefield 14 ч.
«Мы решили воспользоваться олдскульным подходом»: разработчики Outriders объяснили, почему в игре нет микротранзакций 15 ч.