Xuất Hiện Kỹ Thuật Mới Cho Phép Hacker Thâm Nhập Vào Mã Nguồn

“Trojan Source Attacks” được coi là một kỹ thuật mới có thể được hacker sử dụng để đưa những phần mềm độc hại thâm nhập và làm thay đổi mã nguồn, gây nên nguy cơ nhiễm mã độc trên chính các phần mềm, ứng dụng ngay cả khi chúng chưa được phát hành.

Kỹ thuật này là gì?

Theo Nicholas Boucher và Ross Anderson thuộc đại học Cambrigde, kỹ thuật này khai thác sự tinh vi trong các tiêu chuẩn mã hóa văn bản như Unicode để tạo ra những mã nguồn có tokens được mã hóa một cách hợp lý theo thứ tự khác với mã mà chúng được hiển thị, dẫn đến các lỗ hổng mà người đánh giá không thể nhận ra, được mệnh danh là “Trojan Source Attacks”.

Cách thức hoạt động

Cuộc tấn công hoạt động bằng cách nhắm mục tiêu mã hóa các tệp mã nguồn để tạo ra những lỗ hổng thay vì đưa ra các lỗi logic, sắp xếp lại một cách trực quan các mã thông báo trong mã nguồn. Mặc dù được hiển thị theo cách hợp lý nhưng chúng vẫn đánh lừa trình biên dịch xử lý mã theo một cách khác và làm thay đổi đáng kể luồng chương trình – Ví dụ: làm cho một bình luận xuất hiện nếu nó là một mã hoá.

Nguy cơ của kỹ thuật tấn công này?

Các nhà nghiên cứu cảnh báo rằng các mã hóa đối nghịch như vậy có thể có tác động nghiêm trọng đến chuỗi cung ứng, khi các lỗ hổng vô hình được đưa vào những phần mềm nguồn mở có khả năng ảnh hưởng đến tất cả người dùng phần mềm. Thậm chí tệ hơn, các cuộc tấn công từ nguồn Trojan có thể trở nên nghiêm trọng hơn nếu kẻ tấn công sử dụng các homoglyphs để xác định lại các chức năng đã có từ trước trong một chiến thuật và gọi chúng từ một chương trình đã bị tấn công trước đó.

Bằng cách thay thế các chữ cái Latinh bằng các ký tự tương tự chúng trong các bộ họ Unicode khác (ví dụ: thay đổi chữ “H” thành chữ “Н” dạng Kirin), kẻ tấn công có thể tạo ra một hàm đồng nhất trông giống với hàm gốc nhưng chứa mã độc hại, sau đó thêm vào một dự án mã nguồn mở mà không gây nhiều chú ý.

Các chuyên gia lưu ý rằng một cuộc tấn công kiểu này có thể là thảm họa khi áp dụng với một hàm phổ biến có sẵn thông qua một thư viện hoặc một bài viết sẵn có.

Xem thêm nội dung chi tiết: tại đây

Liên hệ tư vấn giải pháp:

Công ty cổ phần giải pháp công nghệ SONIC

Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội

Tel: 02466.564.587

Email:sales@sonic.com.vn