Novità Apple

Ricercatore viola i sistemi di oltre 35 aziende, tra cui Apple, Microsoft e PayPal

Mercoledì 10 febbraio 2021 7:31 PST di Hartley Charlton

Un ricercatore di sicurezza è riuscito a violare i sistemi interni di oltre 35 grandi aziende, tra cui Apple, Microsoft e PayPal, utilizzando un attacco alla catena di fornitura del software (tramite Computer che suona ).





hack di paypal

Ricercatore di sicurezza Alex Birsan è stato in grado di sfruttare un difetto di progettazione unico in alcuni ecosistemi open source chiamato 'confusione delle dipendenze' per attaccare i sistemi di aziende come Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla e Uber.



L'attacco ha comportato il caricamento di malware in repository open source tra cui PyPI, npm e RubyGems, che sono stati poi distribuiti automaticamente a valle nelle applicazioni interne delle varie aziende. Le vittime hanno ricevuto automaticamente i pacchetti dannosi, senza bisogno di ingegneria sociale o trojan.

Birsan è stato in grado di creare progetti contraffatti utilizzando gli stessi nomi su repository open source, ciascuno contenente un messaggio di esclusione di responsabilità, e ha scoperto che le applicazioni avrebbero estratto automaticamente i pacchetti di dipendenza pubblica, senza bisogno di alcuna azione da parte dello sviluppatore. In alcuni casi, come con i pacchetti PyPI, qualsiasi pacchetto con una versione superiore avrebbe la priorità indipendentemente da dove si trovasse. Ciò ha permesso a Birsan di attaccare con successo la catena di fornitura del software di più aziende.

Dopo aver verificato che il suo componente si era infiltrato con successo nella rete aziendale, Birsan ha riferito le sue scoperte alla società in questione e alcuni lo hanno premiato con una taglia di bug. Microsoft gli ha assegnato la più alta quantità di bug bounty di $ 40.000 e ha pubblicato un white paper su questo problema di sicurezza, mentre Apple ha detto BleepComputer che Birsan riceverà una ricompensa tramite il programma Apple Security Bounty per aver divulgato responsabilmente il problema. Birsan ha ora guadagnato oltre $ 130.000 attraverso programmi di bug bounty e accordi di test di penetrazione pre-approvati.

Una spiegazione completa della metodologia alla base dell'attacco è disponibile da Alex Birsan medio pagina .

Tag: sicurezza informatica, bug bounty
Notizie di Apple Forum come revisione Recensioni
iPhone XR Passa da 6S Plus a XR
Le custodie esistenti per iPhone 5 e 5s si adattano al nuovo iPhone SE di Apple
Messaggi Popolari

Messaggi Popolari

Novità Apple
Gli Apple Store iniziano oggi a riaprire in Canada, le sedi dell'Ontario e del Quebec rimangono chiuse
Novità Apple
Apple interrompe HomePod a grandezza naturale per concentrarsi su HomePod Mini
Novità Apple
Apertura di Apple Store di nuova generazione ad Arlington, Brea, Chandler, Glendale e Pleasanton il 24 settembre
Novità Apple
Facebook Messenger ottiene reazioni e filtri nella chat video, nuovi suggerimenti per l'assistente
Forum
Nessun suono su Windows 10
Novità Apple
Philips Hue introdurrà l'interruttore dimmer aggiornato e l'illuminazione per esterni 'Wave Linear'