Apple News

L'investigador viola els sistemes de més de 35 empreses, incloses Apple, Microsoft i PayPal

Dimecres, 10 de febrer de 2021 a les 07:31 PST per Hartley Charlton

Un investigador de seguretat va poder trencar els sistemes interns de més de 35 empreses importants, incloses Apple, Microsoft i PayPal, mitjançant un atac a la cadena de subministrament de programari (mitjançant Bleeping Ordinador ).





pirateig de paypal

Investigador de seguretat Alex Birsan va poder explotar un defecte de disseny únic en alguns ecosistemes de codi obert anomenat 'confusió de dependències' per atacar els sistemes d'empreses com Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla i Uber.



L'atac va implicar la càrrega de programari maliciós als dipòsits de codi obert, inclosos PyPI, npm i RubyGems, que després es van distribuir automàticament aigües avall a les aplicacions internes de les diferents empreses. Les víctimes van rebre automàticament els paquets maliciosos, sense necessitat d'enginyeria social ni de troians.

Birsan va poder crear projectes falsificats utilitzant els mateixos noms en dipòsits de codi obert, cadascun amb un missatge d'exempció de responsabilitat, i va trobar que les aplicacions extreurien automàticament paquets de dependència pública, sense necessitat de cap acció del desenvolupador. En alguns casos, com amb els paquets PyPI, es prioritzaria qualsevol paquet amb una versió superior independentment del lloc on es trobés. Això va permetre a Birsan atacar amb èxit la cadena de subministrament de programari de diverses empreses.

En comprovar que el seu component s'havia infiltrat amb èxit a la xarxa corporativa, Birsan va informar les seves troballes a l'empresa en qüestió i alguns el van recompensar amb una recompensa d'error. Microsoft li va atorgar la seva recompensa d'errors més alta de 40.000 dòlars i va publicar un llibre blanc sobre aquest problema de seguretat, mentre que Apple va dir BleepingComputer que Birsan rebrà una recompensa a través del programa Apple Security Bounty per revelar el problema de manera responsable. Birsan ara ha guanyat més de 130.000 dòlars mitjançant programes de recompenses d'errors i arranjaments de proves de penetració aprovats prèviament.

Una explicació completa de la metodologia darrere de l'atac és disponible a Alex Birsan's Mitjana pàgina .

Etiquetes: ciberseguretat, recompensa d'errors
Ressenyes Com Tos com Com Altres
El proveïdor de lents de càmera de l'iPhone rebutja l'informe de Kuo sobre problemes de qualitat, diu que la producció encara funciona sense problemes
'Flappy Bird' eliminat de l'App Store pel desenvolupador
Entrades Populars

Entrades Populars

Com Tos
Revisió: el Mountie+ de Ten One Design converteix el vostre iPad en una segona pantalla connectada al vostre Mac
Apple News
Kuo: iPhone 2021 amb botó d'engegada Touch ID per incloure una pantalla LCD
Apple News
Siri ara us pot dir quina lectura d'Oprah
Com Tos
Com instal·lar la beta pública de macOS Mojave
Apple News
Els iPhone i Mac del 2022 poden incloure xips de 3 nm
Apple News
SanDisk presenta una nova targeta MicroSD de 250 $ de 400 GB