Apple News

Nhà nghiên cứu vi phạm hệ thống của hơn 35 công ty, bao gồm cả Apple, Microsoft và PayPal

Thứ 4, ngày 10 tháng 2 năm 2021, 7:31 sáng theo giờ PST của Hartley Charlton

Một nhà nghiên cứu bảo mật đã có thể xâm phạm hệ thống nội bộ của hơn 35 công ty lớn, bao gồm Apple, Microsoft và PayPal, bằng cách sử dụng một cuộc tấn công chuỗi cung ứng phần mềm (thông qua Máy tính Bleeping ).





hack paypal

Nhà nghiên cứu bảo mật Alex Birsan đã có thể khai thác một lỗ hổng thiết kế độc đáo trong một số hệ sinh thái nguồn mở được gọi là 'nhầm lẫn phụ thuộc' để tấn công hệ thống của các công ty như Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla và Uber.



Cuộc tấn công liên quan đến việc tải phần mềm độc hại lên các kho mã nguồn mở bao gồm PyPI, npm và RubyGems, sau đó được tự động phân phối xuống các ứng dụng nội bộ của các công ty khác nhau. Các nạn nhân tự động nhận được các gói độc hại mà không cần đến kỹ thuật xã hội hoặc trojan.

Birsan đã có thể tạo các dự án giả mạo bằng cách sử dụng cùng tên trên các kho mã nguồn mở, mỗi kho chứa một thông báo từ chối trách nhiệm và nhận thấy rằng các ứng dụng sẽ tự động kéo các gói phụ thuộc công khai mà không cần bất kỳ hành động nào từ nhà phát triển. Trong một số trường hợp, chẳng hạn như với các gói PyPI, bất kỳ gói nào có phiên bản cao hơn sẽ được ưu tiên bất kể nó được đặt ở đâu. Điều này cho phép Birsan tấn công thành công chuỗi cung ứng phần mềm của nhiều công ty.

Sau khi xác minh rằng thành phần của anh ta đã thâm nhập thành công vào mạng công ty, Birsan đã báo cáo những phát hiện của anh ta cho công ty được đề cập và một số người đã thưởng cho anh ta một khoản tiền thưởng lỗi. Microsoft đã trao cho anh ta số tiền thưởng lỗi cao nhất của nó là 40.000 đô la và phát hành sách trắng về vấn đề bảo mật này, trong khi Apple nói BleepingComputer rằng Birsan sẽ nhận được phần thưởng thông qua chương trình Apple Security Bounty vì đã tiết lộ vấn đề một cách có trách nhiệm. Birsan hiện đã kiếm được hơn 130.000 đô la thông qua các chương trình tiền thưởng lỗi và các thỏa thuận kiểm tra thâm nhập đã được phê duyệt trước.

Giải thích đầy đủ về phương pháp luận đằng sau cuộc tấn công là có sẵn tại Alex Birsan's Trung bình trang .

Tags: an ninh mạng, tiền thưởng lỗi
xem xét lại tin tức táo Diễn Đàn Làm Cách Nào Để Nhận Xét
Hệ thống an ninh gia đình của Honeywell hiện đã tương thích với HomeKit
Cuộc họp cổ đông thường niên của Apple sẽ diễn ra hầu như vào ngày 23 tháng 2
Bài ViếT Phổ BiếN

Bài ViếT Phổ BiếN

Apple News
eBay cho iOS nhận được tính năng quét mã vạch có thể hoàn thành quá trình lập danh sách 'trong vòng vài giây'
Apple News
Album mới nhất của Taylor Swift 'Folklore' Lập kỷ lục phát nhạc trực tuyến mới của Apple Music cho bản phát hành nhạc Pop
Apple News
Tính năng nhận dạng âm nhạc trong Trung tâm điều khiển Shazam của Apple đã xác định được 1 tỷ bài hát
Apple News
MWC 2017: Trợ lý Google mở rộng ngoài Pixel sang điện thoại thông minh Android mới
Apple News
Các công ty bảo hiểm chăm sóc sức khỏe lớn của Úc hiện đã hỗ trợ Apple Wallet
Apple News
Jennifer Aniston Giành giải thưởng SAG cho Màn trình diễn xuất sắc trong Apple TV + Series 'The Morning Show'