محقق امنیتی راهی برای اجرای کد روی سیستمهای Microsoft، PayPal و Apple پیدا کرد.
به گزارش کالاسودا و به نقل از The Verge، یک محقق امنیتی با نام الکس بیرسان موفق شد یک حفرهی امنیتی مرگبار روی سیستمهای بیش از 30 کمپانی پیدا کند.
این حفرهی امنیتی به او اجازه میدهد کدهای دلخواه خود را روی سیستم این کمپانیها اجرا کند.
از نامهای مهمی که در لیست این کمپانیها دیده میشوند، میتوان به Apple، Microsoft و PayPal اشاره کرد.
بدتر از همه اینکه دسترسی به این حفرهی امنیتی بسیار راحت و ساده است.
سوء استفاده از این حفرهی امنیتی بسیار ساده است.
هکر تنها کافی است پکیجهای دادهی خصوصی را با پکیجهای دادهی عمومی جایگزین کند.
بسیاری کمپانیها به هنگام طراحی سیستمهای خود از کدهای منبع باز که توسط برنامه نویسان دیگر نوشته شده اند، استفاده میکنند.
با این کار، کمپانیها نیازی به صرف پول و زمان برای حل چالشهایی که قبلا توسط شخص دیگری حل شدهاند، نخواهند داشت.
این کدها در قالب پکیجهای داده به سیستم آپلود میشوند.
البته کمپانیها به هنگام طراحی سیستمهای خود، پکیجهای دادهی خصوصی را نیز طراحی میکنند.
این پکیجها هرگز آپلود نشده و تنها بین توسعه دهندگان خود کمپانی توزیع میشوند.
اما الکس اکنون دریافته است که اگر شما بتوانید نامهای این پکیجهای خصوصی را پیدا کنید، میتوانید خیلی راحت آنها را با پکیجهای خودتان جایگزین کنید.
از اینجا به بعد سیستم مورد هدف نه تنها این پکیجها را به جای پکیجهای صحیح دانلود میکند، بلکه حتی کدهای دستکاری شدهی داخل آنها را نیز اجرا میکند.
تا اینجای کار یک هکر میتواند از طریق بانک npm برای NodeJS، بانک PyPi برای Python و RubyGems برای Ruby این کار را انجام دهد.
البته گزینههای هکر به همین موارد محدود نمیشوند.
الکس با تمام کمپانیهایی که این ضعف را دارند، تماس گرفته و به آنها هشدار داده است.
بیشتر این کمپانیها این مشکل را برطرف کردهاند.
لینک کوتاه:
