环球门户网

前沿数码资讯:研究人员通过智能攻击入侵了苹果特斯拉等

更新时间:2021-05-26 18:03:13

导读 科技、数码、互联网新闻如今都成为了大众所关注的热点了,因为在我们的生活当中如今已经是处处与这些相关了,不论是手机也好,电脑也好,

科技、数码、互联网新闻如今都成为了大众所关注的热点了,因为在我们的生活当中如今已经是处处与这些相关了,不论是手机也好,电脑也好,又或者是智能手表也好,与之都相关,那么今天小编也是为大家来推荐一篇关于互联网科技数码方向的文章,希望大家会喜欢哦。

虚拟安全研究人员通过发现大型公司使用的开源程序中的一个简单漏洞,已经取得了相当大的成就。根据BleepingComputer的说法,Alex Birsan入侵了大约35个组织,包括苹果,特斯拉,贝宝,微软,Shopify,Netflix,Yelp和Uber等巨头。最令人印象深刻?与采用社会工程技术的其他类型的攻击不同,他的方法不需要受影响公司的员工进行任何疏忽。

研究人员通过智能攻击入侵了苹果,特斯拉等

许多人使用公共存储库来执行公司操作,例如PyPI,npm和RubyGems,而这正是他用来构造入侵的依据,因为实现是为内部应用程序自动分发的。

根据他的分析,该科学家发送了恶意代码,这些恶意代码得以传播,并且该行为揭示了开源生态系统设计中的一个缺陷,称为依赖混淆。

Birsan说,这个想法是在他与另一位专家Justin Gardner合作时产生的,Justin Gardner与他共享了一个清单文件package.json,该清单文件来自PayPal使用的npm软件包。在检查文档时,他注意到公共存储库中不存在某些元素,但认为除私有NodeJS存储库外,还应存在其他具有相同名称的元素。

简单上传具有相同名称的伪造软件包就足以破坏流程。Birsan指出,在某些情况下,他必须添加更高的版本号才能实现自己想要的功能,仅此而已。

幸运的是,在这种情况下,插入的恶意软件是无害的,因为Alex的目标只是警告公司。入侵得到确认后,这位科学家因发现错误而获得了13万多美元的奖励-苹果公司已经保证将补充该奖项。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。