Новости Software

Найден неординарный способ взлома Apple, Microsoft и других компаний — через репозитории с открытым ПО

Исследователь в области безопасности Алекс Бирсан (Alex Birsan) нашёл серьёзную брешь в сервисах Microsoft, Netflix, Apple, Tesla и Uber. Проблема кроется в использовании программного обеспечения с открытым исходным кодом. Об этом сообщает 9to5Mac со ссылкой на портал Bleeping Computer.

Источник изображения: Alex Birsan

Источник изображения: Alex Birsan

Атака включает в себя загрузку вредоносных программ в репозитории с открытым исходным кодом (такие, как PyPI, npm и RubyGems), которые используются многими технологическими компаниями. В отличие от традиционных хакерских атак, данный метод не требует социальной инженерии и вмешательства других людей, помимо хакера.

Процесс внедрения происходит автоматически — для этого лишь необходимо подделать имя вредоносной программы под наименование софтверного пакета, находящегося в репозитории. После чего дописать номер версии, который будет выше актуального. Данная возможность существует из-за путаницы в зависимости файлов репозитория. Говоря простым языком — чтобы все элементы программного обеспечения работали связно, нужно, чтобы сохранялась целостность, поэтому репозитории при загрузке вредоносных пакетов принимают их за часть обновления и устанавливают их.

Конечно же, Алекс загружал в репозитории пакеты без какого-либо вредоносного кода, однако своим экспериментом он смог указать IT-гигантам на недостатки безопасности и помочь им с их исправлением. На данный момент он получил вознаграждений на сумму $130 тыс. Компания Apple заявляет, что вскоре тоже заплатит умельцу за его работу.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Китай готовится к запуску ракеты-носителя нового поколения «Чанчжэн-8» 50 мин.
Vivo поделилась итогами 2021 года: компания вышла на новые рынки и заключила важные партнёрства 2 ч.
Zalman представила серию необслуживаемых СЖО Alpha размером до 360 мм 2 ч.
Слухи: Geely готовит поглощение компании Meizu для выхода на рынок смартфонов 2 ч.
Игровой смартфон Lenovo Legion Y90 получит Snapdragon 8 Gen 1 с активным кулером и 18 Гбайт оперативной памяти 3 ч.
Число абонентов китайских 5G-сетей за год увеличилось почти на 400 млн 3 ч.
Cooler Master представила компьютерные корпуса MasterBox TD300 Mesh и MasterBox 500 3 ч.
Космическая обсерватория NASA Swift перешла в безопасный режим из-за сбоя оборудования 3 ч.
Geely и Renault договорились о совместной разработке и производстве гибридов в Южной Корее 3 ч.
Учёные предположили, что под поверхностью одного из спутников Сатурна скрывается океан 4 ч.