Свобода в один клик! VPN через Телеграмм-бот для России:
|
Как взломать Android-приложение с помощью доменов?
В ряде популярных библиотек, используемых в приложениях Java и Android, обнаружена уязвимость, которая делает их подверженными новому методу атаки на цепочку поставок ПО под названием MavenGate. Об этом сообщила компания по безопасности мобильных приложений Oversecured.
Анализ Oversecured указывает на риск компрометации проектов через покупку доменных имен. Поскольку большинство конфигураций сборки по умолчанию уязвимы, определить факт атаки может быть сложно или даже невозможно. Успешное использование недостатков может позволить злоумышленнику перехватывать артефакты в зависимостях и внедрять вредоносный код в приложение. Что еще хуже, атакующий может скомпрометировать процесс сборки через вредоносный плагин.
Oversecured сообщила, что все технологии на основе Maven, включая Gradle, подвержены атаке. Компания отправила отчеты более чем 200 компаниям, в том числе Google, Facebook*, Signal, и Amazon.
Киберпреступник может нацелиться на публичные репозитории, чтобы провести атаки с целью «отравления» цепочки поставок, используя заброшенные библиотеки, добавленные в известные репозитории. Это достигается путем покупки просроченного обратного домена (Reverse Domain), контролируемого владельцем зависимости, и получения доступа к groupId (идентификатор разработчика объекта). Если groupId уже зарегистрирован в репозитории, злоумышленник может попытаться получить доступ к нему, обратившись в службу поддержки репозитория.
VPN для России через Телеграмм – обеспечь доступ к любым ресурсам!
|
Компания Oversecured для проверки сценария атаки загрузила свою тестовую Android-библиотеку в Maven Central и JitPack. Атака происходит путем добавления Maven Central и JitPack в список репозиториев зависимостей в сценарии сборки Gradle. Порядок объявления определяет, как Gradle будет проверять зависимости во время выполнения.
Исследователи обнаружили, что хакер может нацелиться на существующие версии библиотеки, публикуя более новую версию, или на новые версии, выпуская версию ниже, чем у ее легитимного аналога. Из 33 938 проанализированных доменов 6 170 (18,18%) оказались уязвимы к MavenGate, что позволяет злоумышленнику перехватывать зависимости и внедрять свой код.
Компания Sonatype, владелец Maven Central, заявила, что описанная стратегия атаки «невозможна из-за существующей автоматизации». Тем не менее, компания отключила все учетные записи, связанные с просроченными доменами и проектами GitHub, в качестве меры безопасности.
Oversecured подчеркивает, что разработчики должны нести ответственность не только за прямые зависимости, но и за транзитивные. Создатели библиотек должны отвечать за объявленные ими зависимости и публиковать хэши открытых ключей для своих зависимостей.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Кибербезопасность – это просто, если знаешь как.
Подпишись и узнай!
Купить VPN в России означает приобретение услуги виртуальной частной сети (VPN), которая обеспечивает безопасное и анонимное подключение к интернету с территории России. Это может быть особенно актуально в свете ограничений и блокировок, применяемых к определённым ресурсам в стране.
Зачем нужен VPN в России?
- VPN позволяет получить доступ к заблокированным сайтам и сервисам, таким как социальные сети, стриминговые платформы и другие ресурсы.
- Использование VPN помогает скрыть ваш IP-адрес и шифровать интернет-трафик, что защищает ваши данные от перехвата.
- VPN помогает сохранить анонимность при серфинге, предотвращая отслеживание вашей интернет-активности как интернет-провайдерами, так и третьими лицами.
- VPN защищает ваши данные при подключении к общественным Wi-Fi, минимизируя риск кражи информации.
Комментарии