Новости Software

Найден неординарный способ взлома Apple, Microsoft и других компаний — через репозитории с открытым ПО

Исследователь в области безопасности Алекс Бирсан (Alex Birsan) нашёл серьёзную брешь в сервисах Microsoft, Netflix, Apple, Tesla и Uber. Проблема кроется в использовании программного обеспечения с открытым исходным кодом. Об этом сообщает 9to5Mac со ссылкой на портал Bleeping Computer.

 Источник изображения: Alex Birsan

Источник изображения: Alex Birsan

Атака включает в себя загрузку вредоносных программ в репозитории с открытым исходным кодом (такие, как PyPI, npm и RubyGems), которые используются многими технологическими компаниями. В отличие от традиционных хакерских атак, данный метод не требует социальной инженерии и вмешательства других людей, помимо хакера.

Процесс внедрения происходит автоматически — для этого лишь необходимо подделать имя вредоносной программы под наименование софтверного пакета, находящегося в репозитории. После чего дописать номер версии, который будет выше актуального. Данная возможность существует из-за путаницы в зависимости файлов репозитория. Говоря простым языком — чтобы все элементы программного обеспечения работали связно, нужно, чтобы сохранялась целостность, поэтому репозитории при загрузке вредоносных пакетов принимают их за часть обновления и устанавливают их.

Конечно же, Алекс загружал в репозитории пакеты без какого-либо вредоносного кода, однако своим экспериментом он смог указать IT-гигантам на недостатки безопасности и помочь им с их исправлением. На данный момент он получил вознаграждений на сумму $130 тыс. Компания Apple заявляет, что вскоре тоже заплатит умельцу за его работу.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
God of War Ragnarok предложит более 60 настроек интерфейса и игрового процесса 2 ч.
За несколько месяцев в Сеть утекли данные более 8 млн пользователей сервисов доставки еды 7 ч.
Новая статья: Songs of Conquest — песнь больших надежд. Предварительный обзор 18 ч.
У российской «дочки» Google уже арестовано 2 млрд рублей по искам СМИ 18 ч.
Новая статья: Gamesblender № 571: перенос Starfield, новая Arma, дата выхода ремейка Dead Space и много слухов о Silent Hill 19 ч.
«Игры — это искусство!»: авторы Atomic Heart подсчитали, что уже на разработку потратили сотни тысяч часов 21 ч.
Выяснились подробности о Warhammer 40,000: Darktide — псайкеры, глубокий сюжет и поддержка в будущем 24 ч.
В Twitter обновился API — возможности сторонних приложений расширятся 21-05 16:57
Microsoft предупредила о росте количества заражения вирусом XorDDoS в среде Linux 21-05 16:01
Electronic Arts, вероятно, хочет себя продать или пойти на слияние с другой компанией 21-05 13:09
Ускоритель вычислений NVIDIA A100 выйдет в версии с предустановленным водоблоком для жидкостного охлаждения 2 ч.
Британские учёные предложили изучать землетрясения и течения с помощью подводных интернет-кабелей 3 ч.
Мобильная графика AMD Radeon RX 6300M отметилась в Geekbench 5 — примерно на уровне GeForce MX450 4 ч.
Apple зарегистрировала загадочный «сетевой адаптер» под управлением iOS 5 ч.
Mitsubishi предложила печатать спутниковые антенны прямо в космосе — отправка спутников на орбиту подешевеет 6 ч.
Совет директоров Volkswagen настаивает на более агрессивном развитии программного направления 10 ч.
Apple склоняет подрядчиков к увеличению присутствия в Индии и Вьетнаме 12 ч.
Acer обновила рабочие ноутбуки TravelMate процессорами Alder Lake vPro и Ryzen PRO 6000 21-05 17:53
В Германии запретили продавать машины Ford с подключением к интернету — всё из-за патентного спора 21-05 16:38
HP готовит к выпуску ноутбук для разработчиков на базе AMD Ryzen и Pop!_OS 21-05 16:26