O melhor pedaço da Maçã.
Shutterstock.com
Apple e segurança

Pesquisador invade sistemas da Apple e mais de 30 empresas tecnológicas

As companhas já fizeram as correções necessárias, felizmente

Falamos bastante por aqui sobre vulnerabilidades em sistemas operacionais direcionados aos usuários — que são relativamente comuns porque, bom, faz parte do ciclo de atualizações e mudanças constantes inerentes a esses produtos. Por outro lado, falhas nos sistemas internos das empresas de tecnologia são mais raras de se noticiar, até porque estamos falando de ambientes altamente protegidos, cheios de segredos industriais e outros elementos sensíveis.

Publicidade

O que dizer, então, do pesquisador de cibersegurança Alex Birsan? Ao longo dos últimos meses, ele conseguiu realizar invasões nos sistemas internos de 35 empresas tecnológicas — incluindo a Apple e outras gigantes como a Microsoft, a Netflix, a Tesla, a Uber, o Shopify e o PayPal.

As informações mais técnicas dos ataques estão na postagem feita pelo pesquisador no Medium, mas basicamente Birsan utilizou uma falha de design inerente a certos ecossistemas de código aberto. A falha, chamada de “confusão de dependência”, permite que o invasor deposite um malware em alguns repositórios dos sistemas (como o PyPI, o npm ou o RubyGems); a partir daí, o software malicioso é distribuído nas aplicações internas da empresa e chega às máquinas dos funcionários.

A coisa toda chama a atenção porque não requer um pingo de engenharia social ou ação interna — geralmente, ataques a sistemas corporativos envolvem alguma estratégia para enganar/convencer funcionários a ceder dados, mas aqui o malware é distribuído de forma silenciosa, sem requerer nenhuma ação dos empregados.

Publicidade

Como manda o “código de ética” do mundo hacker, Birsan notificou as empresas invadidas sobre as falhas meses antes de publicar suas descobertas ao mundo. Várias das companhias fizeram pagamentos ao pesquisador como parte dos seus programas de recompensa por bugs — o maior prêmio veio da Microsoft, que pagou US$40 mil a Birsan pelos seus achados. No total, ele já faturou cerca de US$130 mil com seus experimentos.

A Apple, por sua vez, afirmou que também pagará um prêmio a Birsan e que já corrigiu seus sistemas internos para tapar o buraco da vulnerabilidade. Que bom, então.

via BleepingComputer.com

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

SurfaceSnap é um acessório que organiza seus cabos

Próx. Post

Apple classifica app indígena como fraudulento e se desculpa

Posts Relacionados