O pesquisador de segurança Alex Birsan encontrou uma grande falha nos serviços da Microsoft, Netflix, Apple, Tesla e Uber. O problema está no uso de software livre. Isso é relatado por 9to5Mac com referência ao portal Bleeping Computer.
Fonte da imagem: Alex Birsan
O ataque envolve o download de malware de repositórios de código aberto (como PyPI, npm e RubyGems) que são usados por muitas empresas de tecnologia. Ao contrário dos ataques de hackers tradicionais, esse método não requer engenharia social e a intervenção de outras pessoas além do hacker.
O processo de injeção ocorre automaticamente – para isso, você só precisa falsificar o nome do programa malicioso com o nome do pacote de software no repositório. Em seguida, adicione o número da versão que será maior do que o atual. Essa possibilidade existe devido à confusão sobre as dependências dos arquivos do repositório. Em termos simples, para que todos os elementos do software funcionem juntos, é necessário manter a integridade, de forma que os repositórios ao baixar pacotes maliciosos os tomem como parte da atualização e os instalem.
Claro, Alex carregou pacotes para os repositórios sem nenhum código malicioso, mas com seu experimento ele foi capaz de apontar as falhas de segurança para gigantes de TI e ajudá-los a consertá-las. No momento, ele recebeu prêmios no valor de 30 mil e a Apple diz que em breve também vai pagar o artesão por seu trabalho.
No início deste mês, veículos de comunicação noticiaram o desejo da Apple de diversificar sua…
A produção de aceleradores de IA chineses pode aumentar este ano, à medida que as…
As ações de fabricantes globais de semicondutores caíram acentuadamente após o encontro entre o presidente…
Jensen Huang é conhecido por muitas coisas: ele dirige a empresa mais valiosa do mundo,…
A Tesla divulgou informações sobre pelo menos dois acidentes envolvendo seus robotáxis. Os acidentes ocorreram…
A plataforma de publicação de pré-prints científicos arXiv começará a bloquear autores que publicarem artigos…