Apple-News

Forscher verletzt Systeme von über 35 Unternehmen, darunter Apple, Microsoft und PayPal

Mittwoch, 10. Februar 2021, 07:31 Uhr PST von Hartley Charlton

Ein Sicherheitsforscher konnte die internen Systeme von über 35 großen Unternehmen, darunter Apple, Microsoft und PayPal, durch einen Angriff auf die Software-Lieferkette (via Piepsender Computer ).





Paypal-Hack

Sicherheitsforscher Alex Birsan war in der Lage, einen einzigartigen Designfehler in einigen Open-Source-Ökosystemen, der als „Abhängigkeitsverwirrung“ bezeichnet wird, auszunutzen, um die Systeme von Unternehmen wie Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla und Uber anzugreifen.



Der Angriff beinhaltete das Hochladen von Malware in Open-Source-Repositorys wie PyPI, npm und RubyGems, die dann automatisch nachgelagert in die internen Anwendungen der verschiedenen Unternehmen verteilt wurden. Die Opfer erhielten automatisch die bösartigen Pakete, ohne dass Social Engineering oder Trojaner erforderlich waren.

Birsan war in der Lage, gefälschte Projekte mit denselben Namen in Open-Source-Repositorys zu erstellen, die jeweils eine Haftungsausschlussmeldung enthielten, und stellte fest, dass Anwendungen automatisch öffentliche Abhängigkeitspakete abrufen würden, ohne dass der Entwickler eingreifen musste. In einigen Fällen, beispielsweise bei PyPI-Paketen, wird jedes Paket mit einer höheren Version unabhängig davon, wo es sich befindet, priorisiert. Dadurch konnte Birsan erfolgreich die Software-Lieferkette mehrerer Unternehmen angreifen.

Als er verifizierte, dass seine Komponente erfolgreich das Firmennetzwerk infiltriert hatte, meldete Birsan seine Ergebnisse dem fraglichen Unternehmen und einige belohnten ihn mit einem Bug-Bounty. Microsoft sprach ihm den höchsten Bug-Bounty-Betrag von 40.000 US-Dollar zu und veröffentlichte ein Whitepaper zu diesem Sicherheitsproblem, während Apple sagte BleepingComputer dass Birsan über das Apple Security Bounty-Programm eine Belohnung für die verantwortungsvolle Offenlegung des Problems erhält. Birsan hat jetzt über 130.000 US-Dollar durch Bug-Bounty-Programme und vorab genehmigte Penetrationstests verdient.

Eine vollständige Erklärung der Methodik hinter dem Angriff ist erhältlich bei Alex Birsan Mittel Seite .

Tags: Cybersicherheit , Bug Bounty
Apple-Neuigkeiten Sonstiges Apple-News Rezension wie man
Apple und Lamborghini schließen sich zusammen, um iPhone-Benutzern die Anzeige des neuen Huracán EVO RWD Spyder in Augmented Reality zu ermöglichen
Apple schließt Store in South Carolina nach COVID-19-Exposition, andere Geschäfte kürzen die Öffnungszeiten aufgrund von Personalmangel
Beliebte Beiträge

Beliebte Beiträge

Apple-News
iOS 17 unterstützt App-Sideloading zur Einhaltung europäischer Vorschriften
Apple-News
Prosser: Günstigere Apple Watch mit Series 4 Design kommt nächste Woche
Foren
Drucken Sie mehrere Fotos auf einer Seite.
Foren
Yosemite auf jedem Mac installieren (nicht unterstützt) SFOTT
Foren
Apple TV-Suchergebnisse blass im Vergleich zu Fire Stick
Apple-News
LG stellt Android-Nougat-Telefon V20 mit 3,5-mm-Klinke vor, audiophile Smarts