Apple News

A kutató több mint 35 vállalat, köztük az Apple, a Microsoft és a PayPal rendszerét sérti meg

2021. február 10., szerda, 7:31 PST, Hartley Charlton

Egy biztonsági kutató több mint 35 nagyvállalat belső rendszerét tudta feltörni, beleértve az Apple-t, a Microsoftot és a PayPal-t egy szoftveres ellátási lánc támadásával (a Csipogó számítógép ).





paypal hack

Biztonsági kutató Alex Birsan képes volt kihasználni néhány nyílt forráskódú ökoszisztéma egyedi tervezési hibáját, az úgynevezett „függőségi zavart”, hogy megtámadja az olyan cégek rendszereit, mint az Apple, a Microsoft, a PayPal, a Shopify, a Netflix, a Yelp, a Tesla és az Uber.



A támadás során rosszindulatú programokat töltöttek fel nyílt forráskódú tárolókba, beleértve a PyPI-t, az npm-t és a RubyGems-eket, amelyeket aztán automatikusan elterjesztettek a különböző vállalatok belső alkalmazásaiba. Az áldozatok automatikusan megkapták a rosszindulatú csomagokat, szociális manipuláció vagy trójai programok nélkül.

Birsan képes volt hamisított projekteket létrehozni ugyanazon elnevezéssel a nyílt forráskódú tárolókban, amelyek mindegyike tartalmazott egy felelősséget kizáró üzenetet, és megállapította, hogy az alkalmazások automatikusan lekérik a nyilvános függőségi csomagokat, anélkül, hogy a fejlesztőtől bármiféle lépésre lenne szükségük. Egyes esetekben, például a PyPI-csomagoknál, minden magasabb verziójú csomag prioritást élvez, függetlenül attól, hogy hol található. Ez lehetővé tette a Birsannak, hogy sikeresen megtámadja több vállalat szoftverellátási láncát.

Miután megbizonyosodott arról, hogy a komponense sikeresen beszivárgott a vállalati hálózatba, Birsan jelentést tett megállapításairól a szóban forgó vállalatnak, és néhányan hibadíjjal jutalmazták. A Microsoft a legmagasabb, 40 000 dolláros hibajutalomban részesítette számára, és kiadott egy fehér könyvet erről a biztonsági kérdésről, miközben az Apple elmondta BleepingComputer hogy Birsan az Apple Security Bounty programon keresztül jutalmat kap a probléma felelősségteljes nyilvánosságra hozataláért. Birsan mostanra több mint 130 000 dollárt keresett a hibajavító programok és az előzetesen jóváhagyott behatolási tesztek révén.

A támadás mögötti módszertan teljes körű magyarázata az elérhető Alex Birsannál Közepes oldalon .

Címkék: cybersecurity , bug bounty
Vélemények hogyan kell felülvizsgálat Adatvédelmi Irányelvek Egyéb
?: Mennyire pontos az Apple Watch pulzusszám mérése?
Új iMac apróságok: Fejhallgató-csatlakozó az oldalon, Ethernet-port a tápegységen, térbeli audio és WiFi 6 támogatás, nincs SD-kártyahely
Népszerű Bejegyzések

Népszerű Bejegyzések

Apple News
Bloomberg: Az Apple régebbi műsorokat vásárol TV+-hoz, hogy kihívást jelentsen a Netflix számára
Apple News
A Google bemutatja a „Cardboard Camera” interaktív VR-fotóalkalmazást iOS rendszeren
Apple News
A pletykák szerint a 2021-es csúcskategóriás iPad Pro 5G funkcióval rendelkezik mmWave támogatással
Hogyan Tos
AirPods 3 értékelés: jobb kényelem, kényelmesebb illeszkedés, jobb hangzás és lenyűgöző ár
Apple News
Örök ajándék: Nyerj egy iPhone 11 Pro Max-ot és egy AnyTrans másolatot
Apple News
A BBEdit visszatér a Mac App Store-ba