Теги → хакерсто

Найден неординарный способ взлома Apple, Microsoft и других компаний — через репозитории с открытым ПО

Исследователь в области безопасности Алекс Бирсан (Alex Birsan) нашёл серьёзную брешь в сервисах Microsoft, Netflix, Apple, Tesla и Uber. Проблема кроется в использовании программного обеспечения с открытым исходным кодом. Об этом сообщает 9to5Mac со ссылкой на портал Bleeping Computer.

 Источник изображения: Alex Birsan

Источник изображения: Alex Birsan

Атака включает в себя загрузку вредоносных программ в репозитории с открытым исходным кодом (такие, как PyPI, npm и RubyGems), которые используются многими технологическими компаниями. В отличие от традиционных хакерских атак, данный метод не требует социальной инженерии и вмешательства других людей, помимо хакера.

Процесс внедрения происходит автоматически — для этого лишь необходимо подделать имя вредоносной программы под наименование софтверного пакета, находящегося в репозитории. После чего дописать номер версии, который будет выше актуального. Данная возможность существует из-за путаницы в зависимости файлов репозитория. Говоря простым языком — чтобы все элементы программного обеспечения работали связно, нужно, чтобы сохранялась целостность, поэтому репозитории при загрузке вредоносных пакетов принимают их за часть обновления и устанавливают их.

Конечно же, Алекс загружал в репозитории пакеты без какого-либо вредоносного кода, однако своим экспериментом он смог указать IT-гигантам на недостатки безопасности и помочь им с их исправлением. На данный момент он получил вознаграждений на сумму $130 тыс. Компания Apple заявляет, что вскоре тоже заплатит умельцу за его работу.

window-new
Soft
Hard
Тренды 🔥
Роскомнадзор усилил контроль блокировок сайтов и начал привлекать к этому Генпрокуратуру 21 мин.
Японская Showa Denko начала поставки магнитных пластин с рекордной плотностью — из них получатся HDD на 26 Тбайт 33 мин.
MSI впервые вживую показала чипсет AMD X670 из двух микросхем 2 ч.
Россияне стали больше платить наличными после отключения Apple Pay и Google Pay 2 ч.
Материнская компания розничной сети Lidl запустила конкурента AWS в Германии 2 ч.
Apple надеется по итогам 2022 года выпустить 220 млн iPhone — на уровне прошлого года 2 ч.
SilverStone представила кулер Hydrogon H90 ARGB — четыре тепловые трубки и высота всего 48 мм 2 ч.
Представлен самый маленький робот с дистанционным управлением — всего 0,5 мм в диаметре 2 ч.
Представлен планшет Realme Pad X с экраном 2К и процессором Snapdragon 695 2 ч.
В августе Великобритания станет космической державой — запуски с территории страны откроет Virgin Orbit 3 ч.