Um investigador de segurança conseguiu infiltrar-se em sistemas da Microsoft, Apple, PayPal, Netflix, Tesla, e outros, usando uma táctica original.
Hoje em dia o desenvolvimento de software assemelha-se à criação de um castelo de cartas, com até os programas mais básicos a recorrem a uma série de bibliotecas de funcionalidades já desenvolvidas. No passado já vimos ataques que passavam por tentar adicionar malware a alguns dos pacotes mais populares, ou criando versões maliciosas usando nomes parecidos ou com erros comuns, mas desta vez o processo foi ainda mais original.
Muitas empresas optam por usar bibliotecas privadas, que não estão acessíveis em repositórios ao público. Então, lembrou-se de criar uma biblioteca de funções com o mesmo nome, mas alojada num repositório público. E, surpreendentemente, os projectos davam prioridade à biblioteca pública em vez da privada!
Quer isto dizer que, qualquer pessoa que se dignasse a criar uma biblioteca com um nome igual ao que era usado de forma privada em projectos de qualquer empresas, podia facilmente injectar código seu numa série de projectos de grandes empresas - como as referidas acima. E tudo sem que os developers tivessem que cometer algum erro, já que do seu ponto de vista tudo estaria correcto e bem feito.
Uma vez que se tratava de um investigador e não de um atacante, o caso foi reportado às diversas empresas, garantindo-lhe mais de 130 mil dólares em recompensas por alertar para este risco.
Subscrever:
Enviar feedback (Atom)
Para uma falha tão séria parece-me um valor muito baixo
ResponderEliminar