Badaczowi bezpieczeństwa Alexowi Birsanowi udało się włamać do wewnętrznych systemów ponad 35 dużych firm, w tym Apple, Microsoft i PayPal, za pomocą ataku oprogramowania.
Birsan wykorzystał unikalną lukę projektową w niektórych ekosystemach open source, aby zaatakować systemy firm takich jak Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla i Uber.
Atak polegał na pobraniu złośliwego oprogramowania do repozytorium open source, w tym PyPI, npm i RubyGems, które następnie były automatycznie dystrybuowane do wewnętrznych aplikacji różnych firm. Ofiary automatycznie otrzymywały złośliwe pakiety, bez użycia trojanów.
Birsan był w stanie tworzyć fałszywe projekty przy użyciu tych samych nazw w repozytoriach open source, z których każdy zawierał zastrzeżenie. Odkrył również, że aplikacje automatycznie pobierają publicznie dostępne pakiety zależności bez żadnych działań ze strony programisty. W niektórych przypadkach, na przykład w przypadku pakietów PyPI, priorytet będzie miał każdy pakiet z wyższą wersją, bez względu na to, gdzie się znajduje. Pozwoliło to firmie Birsan skutecznie zaatakować łańcuch dostaw oprogramowania kilku firm.
Po upewnieniu się, że jego składnik pomyślnie przeniknął do sieci korporacyjnej, Birsan przekazał swoje ustalenia firmom. Microsoft przyznał mu najwyższą nagrodę za wykrycie błędów w wysokości 40 000 dolarów, a Apple obiecał włączyć go do programu Apple Security Bounty.
iOS 14.5 i iPadOS 14.5
- Ponad 30 zmian i nowości w systemie iOS14.5 na filmie
- Apple udostępniło deweloperom pierwsze bety iOS14.5 / iPadOS14.5 / watchOS 7.4 i tvOS 14.5
- iOS 14.5 beta przywraca działanie funkcji ?Obraz w obrazie? na YouTube
- iOS 14.5 ? jak ustawić Spotify jako domyślny odtwarzacz muzyki w iPhone
- Apple wypuściło pierwszą publiczną wersję beta systemów iOS 14.5 i iPadOS 14.5