Apple News

Изследовател нарушава системи на над 35 компании, включително Apple, Microsoft и PayPal

Сряда, 10 февруари 2021 г., 7:31 ч. PST от Хартли Чарлтън

Изследовател по сигурността успя да наруши вътрешните системи на над 35 големи компании, включително Apple, Microsoft и PayPal, използвайки атака на веригата за доставка на софтуер (чрез Компютър за кървене ).





хак на paypal

Изследовател по сигурността Алекс Бирсан успя да използва уникален недостатък в дизайна в някои екосистеми с отворен код, наречен „объркване на зависимостта“, за да атакува системите на компании като Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla и Uber.



Атаката включваше качване на зловреден софтуер в хранилища с отворен код, включително PyPI, npm и RubyGems, които след това се разпространяваха автоматично надолу по веригата във вътрешните приложения на различните компании. Жертвите автоматично получават злонамерените пакети, без да се изисква социално инженерство или троянски коне.

Birsan успя да създаде фалшиви проекти, използвайки същите имена в хранилища с отворен код, всяко от които съдържа съобщение за отказ от отговорност, и установи, че приложенията автоматично ще изтеглят публични пакети на зависимости, без да се налага никакво действие от страна на разработчика. В някои случаи, като например при пакетите PyPI, всеки пакет с по-висока версия ще бъде с приоритет, независимо къде се намира. Това позволи на Birsan да атакува успешно веригата за доставка на софтуер на множество компании.

След като потвърди, че неговият компонент е проникнал успешно в корпоративната мрежа, Birsan съобщи за откритията си на въпросната компания и някои го наградиха с награда за грешки. Microsoft го награди с най-високата си сума за бъг от $40 000 и публикува бяла книга по този проблем със сигурността, докато Apple каза BleepingComputer че Birsan ще получи награда чрез програмата Apple Security Bounty за отговорно разкриване на проблема. Birsan вече е спечелил над $130 000 чрез програми за награди за грешки и предварително одобрени договорености за тестване на проникване.

Пълно обяснение на методологията зад атаката е на разположение при Алекс Бирсан Среден страница .

Етикети: киберсигурност , награда за бъгове
Форуми Новини на Apple Отзиви Политика За Поверителност други
Първият епизод на „Вижте“ сезон 2 се премиери на Apple TV+
Приложението Shazam, собственост на Apple, надхвърля 200 милиона активни потребители месечно по целия свят
Популярни Публикации

Популярни Публикации

преглед
Преглед: FusionDock Max 1 на iVANKY осигурява изключителна гъвкавост с двойна Thunderbolt свързаност
Как Tos
Преглед: Pryme Vessyl е свързана с iPhone Smart Cup, която не е достатъчно интелигентна
Форуми
Разрешено подрязване на MP3 файлове
Apple Новини
Apple придобива транзитна услуга HopStop, за да подобри допълнително своето приложение Maps
Как Tos
Как да промените своя имейл адрес във FaceTime
Форуми
iPhone 11 Pro Silver X/XS/11 Собственици: Драскотини от неръждаема стомана