Uma maneira extraordinária de hackear a Apple, Microsoft e outras empresas foi encontrada – por meio de repositórios de código aberto

O pesquisador de segurança Alex Birsan encontrou uma grande falha nos serviços da Microsoft, Netflix, Apple, Tesla e Uber. O problema está no uso de software livre. Isso é relatado por 9to5Mac com referência ao portal Bleeping Computer.

Fonte da imagem: Alex Birsan

O ataque envolve o download de malware de repositórios de código aberto (como PyPI, npm e RubyGems) que são usados ​​por muitas empresas de tecnologia. Ao contrário dos ataques de hackers tradicionais, esse método não requer engenharia social e a intervenção de outras pessoas além do hacker.

O processo de injeção ocorre automaticamente – para isso, você só precisa falsificar o nome do programa malicioso com o nome do pacote de software no repositório. Em seguida, adicione o número da versão que será maior do que o atual. Essa possibilidade existe devido à confusão sobre as dependências dos arquivos do repositório. Em termos simples, para que todos os elementos do software funcionem juntos, é necessário manter a integridade, de forma que os repositórios ao baixar pacotes maliciosos os tomem como parte da atualização e os instalem.

Claro, Alex carregou pacotes para os repositórios sem nenhum código malicioso, mas com seu experimento ele foi capaz de apontar as falhas de segurança para gigantes de TI e ajudá-los a consertá-las. No momento, ele recebeu prêmios no valor de 30 mil e a Apple diz que em breve também vai pagar o artesão por seu trabalho.

avalanche

Postagens recentes

Os desenvolvedores de Ghostrunner adorariam trabalhar em Ghostrunner 3, mas há um porém.

Em vez de um possível Ghostrunner 3, os desenvolvedores do estúdio polonês One More Level…

32 minutos atrás

Os japoneses pretendem converter os motores de combustão interna para hidrogênio, em vez de usar células de combustível.

As células de hidrogênio tradicionais exigem o uso de usinas de energia caras que geram…

1 hora atrás

“Senti que estava desmoronando”: Os desenvolvedores principais de Suicide Squad: Kill the Justice League quase abandonaram a indústria após o fracasso do jogo.

O fracasso do jogo de ação cooperativo da Rocksteady Studios, Suicide Squad: Kill the Justice…

3 horas atrás

OxygenOS e Realme UI serão relegados ao passado – OnePlus e Realme migrarão para o ColorOS.

O OxygenOS e a Realme UI não serão mais usados ​​nos novos modelos de smartphones…

3 horas atrás