Исследователь в области безопасности Алекс Бирсан (Alex Birsan) нашёл серьёзную брешь в сервисах Microsoft, Netflix, Apple, Tesla и Uber. Проблема кроется в использовании программного обеспечения с открытым исходным кодом. Об этом сообщает 9to5Mac со ссылкой на портал Bleeping Computer.
Атака включает в себя загрузку вредоносных программ в репозитории с открытым исходным кодом (такие, как PyPI, npm и RubyGems), которые используются многими технологическими компаниями. В отличие от традиционных хакерских атак, данный метод не требует социальной инженерии и вмешательства других людей, помимо хакера.
Процесс внедрения происходит автоматически — для этого лишь необходимо подделать имя вредоносной программы под наименование софтверного пакета, находящегося в репозитории. После чего дописать номер версии, который будет выше актуального. Данная возможность существует из-за путаницы в зависимости файлов репозитория. Говоря простым языком — чтобы все элементы программного обеспечения работали связно, нужно, чтобы сохранялась целостность, поэтому репозитории при загрузке вредоносных пакетов принимают их за часть обновления и устанавливают их.
Конечно же, Алекс загружал в репозитории пакеты без какого-либо вредоносного кода, однако своим экспериментом он смог указать IT-гигантам на недостатки безопасности и помочь им с их исправлением. На данный момент он получил вознаграждений на сумму $130 тыс. Компания Apple заявляет, что вскоре тоже заплатит умельцу за его работу.
Источник: