O pesquisador de segurança Alex Birsan encontrou uma grande falha nos serviços da Microsoft, Netflix, Apple, Tesla e Uber. O problema está no uso de software livre. Isso é relatado por 9to5Mac com referência ao portal Bleeping Computer.
Fonte da imagem: Alex Birsan
O ataque envolve o download de malware de repositórios de código aberto (como PyPI, npm e RubyGems) que são usados por muitas empresas de tecnologia. Ao contrário dos ataques de hackers tradicionais, esse método não requer engenharia social e a intervenção de outras pessoas além do hacker.
O processo de injeção ocorre automaticamente – para isso, você só precisa falsificar o nome do programa malicioso com o nome do pacote de software no repositório. Em seguida, adicione o número da versão que será maior do que o atual. Essa possibilidade existe devido à confusão sobre as dependências dos arquivos do repositório. Em termos simples, para que todos os elementos do software funcionem juntos, é necessário manter a integridade, de forma que os repositórios ao baixar pacotes maliciosos os tomem como parte da atualização e os instalem.
Claro, Alex carregou pacotes para os repositórios sem nenhum código malicioso, mas com seu experimento ele foi capaz de apontar as falhas de segurança para gigantes de TI e ajudá-los a consertá-las. No momento, ele recebeu prêmios no valor de 30 mil e a Apple diz que em breve também vai pagar o artesão por seu trabalho.