Noticias De Apple

Investigador infringe los sistemas de más de 35 empresas, incluidas Apple, Microsoft y PayPal

Miércoles 10 de febrero de 2021 7:31 am PST por Hartley Charlton

Un investigador de seguridad pudo violar los sistemas internos de más de 35 compañías importantes, incluidas Apple, Microsoft y PayPal, utilizando un ataque de cadena de suministro de software (a través de Computadora que suena ).





truco paypal

Investigador de seguridad Alex Birsan pudo explotar una falla de diseño única en algunos ecosistemas de código abierto llamada 'confusión de dependencia' para atacar los sistemas de empresas como Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla y Uber.



El ataque involucró la carga de malware en repositorios de código abierto, incluidos PyPI, npm y RubyGems, que luego se distribuyeron automáticamente en las aplicaciones internas de las distintas empresas. Las víctimas recibieron automáticamente los paquetes maliciosos, sin necesidad de ingeniería social ni troyanos.

Birsan pudo crear proyectos falsificados usando los mismos nombres en repositorios de código abierto, cada uno con un mensaje de descargo de responsabilidad, y descubrió que las aplicaciones extraían automáticamente paquetes de dependencia pública, sin necesidad de ninguna acción por parte del desarrollador. En algunos casos, como con los paquetes de PyPI, cualquier paquete con una versión superior se priorizaría independientemente de dónde se encuentre. Esto permitió a Birsan atacar con éxito la cadena de suministro de software de varias empresas.

Al verificar que su componente se había infiltrado con éxito en la red corporativa, Birsan informó sus hallazgos a la empresa en cuestión, y algunos lo recompensaron con una recompensa por errores. Microsoft le otorgó la cantidad más alta de recompensa por errores de $ 40,000 y publicó un documento técnico sobre este problema de seguridad, mientras que Apple dijo BleepingComputadora que Birsan recibirá una recompensa a través del programa Apple Security Bounty por divulgar el problema de manera responsable. Birsan ahora ha ganado más de $ 130,000 a través de programas de recompensas por errores y acuerdos de prueba de penetración aprobados previamente.

Una explicación completa de la metodología detrás del ataque es disponible en Alex Birsan's Medio página .

Etiquetas: ciberseguridad, recompensa por errores
Cómo Noticias De Apple revisión Otro cómo
iOS 15: Cómo usar Ocultar mi correo electrónico
El CEO de Qualcomm, Steve Mollenkopf, comparte sus pensamientos sobre el acuerdo de Apple, pero se niega a dar detalles específicos
Entradas Populares

Entradas Populares

Noticias De Apple
Kuo: la línea de iPhone 13 comenzará con 128 GB de almacenamiento, los modelos profesionales tendrán una opción de 1 TB
Cómo Tos
Cómo usar la función de arrastrar y soltar en un iPad y iPhone
Noticias De Apple
iOS 15.1 Beta 2 corrige un error que evita que los usuarios de iPhone 13 se desbloqueen con Apple Watch cuando están enmascarados
Noticias De Apple
Satechi lanza el banco de energía inalámbrico Quatro para cargar iPhone, AirPods y Apple Watch
Noticias De Apple
Resumen de aplicaciones: Budget Burndown, Endel, Samplr y actualizaciones importantes de aplicaciones
Noticias De Apple
iOS 15: cómo hacer que la aplicación de fotos muestre a una persona con menos frecuencia