Foi encontrada uma vulnerabilidade em muitos compiladores que permite ocultar código malicioso na fonte

Pesquisadores da Universidade de Cambridge revelaram uma vulnerabilidade que afeta muitos compiladores de código modernos. O trabalho, intitulado Trojan Source, descreve um ataque insidioso no qual os invasores podem ocultar códigos maliciosos direcionados em fontes de software.

Imagem: Gerd Altmann / Pixabay

O ataque depende de como os compiladores lidam com os identificadores Unicode usados ​​para determinar a orientação do texto (da esquerda para a direita ou vice-versa). O ponto fraco é o algoritmo Unicode Bidi, que permite combinar palavras escritas da direita para a esquerda e da esquerda para a direita. Por exemplo, graças a este algoritmo, você pode combinar palavras em árabe e inglês. Também permite que o texto da direita para a esquerda seja lido da esquerda para a direita e vice-versa.

Em alguns casos, a ordem definida pelo algoritmo Bidi não é suficiente para alternar a ordem de exibição dos grupos de caracteres e, em tais casos, são usados ​​caracteres de controle especiais. Substituir Bidi torna possível exibir até mesmo caracteres individuais em uma ordem diferente de sua codificação lógica.

A exploração da vulnerabilidade pode permitir a adição de comandos que serão exibidos como parte de um comentário ou linha quando um programador verificar o código. A fonte observa que ataques anteriores desse tipo foram usados ​​para mascarar as extensões de arquivo de malware distribuído por e-mail durante campanhas de phishing. Essa abordagem permite que você insira vulnerabilidades no código-fonte e, se elas não fizerem alterações significativas na lógica, não será fácil detectá-las ao verificar o código.

Os pesquisadores divulgaram os dados de seu trabalho ao público alguns meses após sua conclusão. Durante esse tempo, vários patches foram preparados para corrigir o problema dos desenvolvedores que usam a linguagem Rust. Recomendações adicionais para resolver esse problema para outras linguagens de programação serão publicadas em uma data posterior.