Berita Apple

Penyelidik Melanggar Sistem Lebih 35 Syarikat, Termasuk Apple, Microsoft dan PayPal

Rabu 10 Februari 2021 7:31 pagi PST oleh Hartley Charlton

Seorang penyelidik keselamatan dapat melanggar sistem dalaman lebih 35 syarikat utama, termasuk Apple, Microsoft dan PayPal, menggunakan serangan rantaian bekalan perisian (melalui Komputer Bleep ).





hack paypal

Penyelidik keselamatan Alex Birsan dapat mengeksploitasi kecacatan reka bentuk yang unik dalam beberapa ekosistem sumber terbuka yang dipanggil 'kekeliruan kebergantungan' untuk menyerang sistem syarikat seperti Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla dan Uber.



Serangan itu melibatkan memuat naik perisian hasad ke repositori sumber terbuka termasuk PyPI, npm dan RubyGems, yang kemudiannya diedarkan secara automatik ke hiliran ke dalam aplikasi dalaman pelbagai syarikat. Mangsa secara automatik menerima pakej berniat jahat, tanpa kejuruteraan sosial atau trojan diperlukan.

Birsan dapat mencipta projek palsu menggunakan nama yang sama pada repositori sumber terbuka, setiap satu mengandungi mesej penafian, dan mendapati bahawa aplikasi akan secara automatik menarik pakej pergantungan awam, tanpa memerlukan sebarang tindakan daripada pembangun. Dalam sesetengah kes, seperti dengan pakej PyPI, mana-mana pakej dengan versi yang lebih tinggi akan diutamakan tidak kira di mana sahaja ia berada. Ini membolehkan Birsan berjaya menyerang rantaian bekalan perisian berbilang syarikat.

Setelah mengesahkan bahawa komponennya telah berjaya menyusup ke rangkaian korporat, Birsan melaporkan penemuannya kepada syarikat berkenaan, dan beberapa orang memberinya ganjaran pepijat. Microsoft menganugerahkan dia jumlah hadiah pepijat tertinggi sebanyak $40,000 dan mengeluarkan kertas putih mengenai isu keselamatan ini, sementara Apple memberitahu BleepingKomputer bahawa Birsan akan menerima ganjaran melalui program Apple Security Bounty kerana mendedahkan isu tersebut secara bertanggungjawab. Birsan kini telah memperoleh lebih $130,000 melalui program hadiah pepijat dan pengaturan ujian penembusan yang telah diluluskan sebelumnya.

Penjelasan penuh tentang metodologi di sebalik serangan adalah boleh didapati di Alex Birsan's Sederhana muka surat .

Tag: keselamatan siber , hadiah pepijat
Berita Apple Berita Apple bagaimana untuk Lain-lain Ulasan
Apple Menamatkan Aksesori Space Grey Mac Kini Memandangkan iMac Pro sudah Mati
Stok iPhone dibekukan dalam stok Widget; tidak muncul di dalam apl saham sebenar
Jawatan Popular

Jawatan Popular

Berita Apple
Paten iMessage Apple Menggambarkan Keupayaan untuk Mengedit Teks yang Telah Dihantar
Berita Apple
Jimat Sehingga $200 pada MacBook Air Baharu, Kini $999 di Costco dan $1,059 di Amazon
Berita Apple
Ciri 'Screen Pass' Baharu dalam Filem Di Mana-mana Akan Membenarkan Anda Meminjamkan Filem Digital kepada Rakan Anda
Forum
Sesiapa sahaja yang mempunyai mesin M1 suka memasang MAMP untuk menguji?
semakan
Ulasan M3 iMac: Prestasi Cip yang Mengagumkan tetapi Aksesori Kilat Mengecewakan
Berita Apple
Penutup CES 2019: TV AirPlay 2, Sarung Bateri untuk iPhone Terkini, Kilat Pihak Ketiga ke Kabel USB-C dan Banyak Lagi