Технологии

Исследователь безопасности взломал внутренние системы Apple, Microsoft, Netflix, PayPal и Tesla

164

Исследователь безопасности Алекс Бирсан смог взломать внутренние системы более 35 крупных компаний, включая Apple, Microsoft и PayPal, с помощью атаки на программное обеспечение.

Бирсан использовал уникальную уязвимость дизайна в некоторых экосистемах с открытым исходным кодом, называемую «путаница зависимостей», для атаки на системы таких компаний, как Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla и Uber.

Атака заключалась в загрузке вредоносных программ в репозитории с открытым исходным кодом, включая PyPI, npm и RubyGems, которые затем автоматически распределялись по внутренним приложениям различных компаний. Жертвы автоматически получали вредоносные пакеты, без использования социальной инженерии или троянов.

Бирсан смог создать поддельные проекты, используя одни и те же имена в репозиториях с открытым исходным кодом, каждый из которых содержал сообщение об отказе от ответственности. Он также обнаружил, что приложения автоматически извлекают общедоступные пакеты зависимостей без каких-либо действий со стороны разработчика. В некоторых случаях, например, с пакетами PyPI, приоритет будет отдаваться любому пакету с более высокой версией независимо от того, где он находится. Это позволило Бирсану успешно атаковать цепочку поставок программного обеспечения нескольких компаний.

Убедившись, что его компонент успешно внедрился в корпоративную сеть, Бирсан сообщил о своих выводах компаниям. Microsoft присудила ему самую высокую сумму вознаграждения за обнаружение ошибок в размере $40 000, а Apple пообещала включить его в программу Apple Security Bounty.

Приобрести новый MacBook или другой гаджет Apple по хорошей цене вы можете в магазине AJ.ru. Нашим читателям — скидка по промокоду Digger.

Редакция Digger ведёт канал в «Яндекс.Дзене». Подписывайтесь!

0 комментариев

Написать комментарий