Crédito: CC0 Public Domain
Un par de expertos en seguridad de TrojanSource han encontrado una forma novedosa de atacar el código fuente de la computadora, una que engaña al compilador (y al revisor humano) para que piense que el código es seguro. Nicholas Boucher y Ross Anderson, ambos de la Universidad de Cambridge, han publicado un documento en la página web de TrojanSource que detalla la vulnerabilidad y las formas en que podría solucionarse.
Como lo describen Boucher y Anderson, la vulnerabilidad implica ataques adversarios cometidos por tipos nefastos que utilizan caracteres de control Unicode para reordenar caracteres en el código fuente que a los programadores les parece legítimo. Más específicamente, la vulnerabilidad implica el uso de un algoritmo ‘Bidi’, en Unicode (un estándar de codificación internacional que se puede usar en diferentes idiomas) donde los caracteres se pueden colocar tanto de izquierda a derecha como de derecha a izquierda, porque algunos idiomas, como El hebreo y el árabe se escriben y leen de derecha a izquierda.
La vulnerabilidad existe porque los algoritmos que procesan dicho código no toman en consideración que algunos de los caracteres que se leen de izquierda a derecha pueden tener un significado o propósito diferente si se leen de derecha a izquierda. Debido a que prácticamente todos los lenguajes de programación más populares en uso en la actualidad (C, C +, Java, Python, Go, Rust y JavaScript) permiten Unicode, eso significa que prácticamente todos los programas están potencialmente en riesgo.
Como ejemplo, Boucher y Anderson muestran que una línea de código como:
/ * comenzar solo administradores * / if (isAdmin) {
Podría cambiarse a:
/ * if (isAdmin) {comienzan solo administradores * /
La primera línea es un comentario inofensivo insertado por un programador, la segunda es un código que un pirata informático podría usar para obtener un resultado deseado. Los investigadores sugieren que la vulnerabilidad representa una seria amenaza para las cadenas de suministro de software; si se explotaran tales vulnerabilidades, podrían afectar al software posterior al permitirles heredar la misma vulnerabilidad.
Debido a que la vulnerabilidad existe para una variedad tan amplia de lenguajes de programación, su divulgación se coordinó primero con los funcionarios encargados de mantener las reglas para dichos lenguajes, dándoles tiempo para agregar cambios a los compiladores e intérpretes para dar cuenta y mitigar tal amenaza.
Vulnerabilidad encontrada en el lector electrónico Kindle
Reporte: www.trojansource.codes/trojan-source.pdf
TrojanSource: www.trojansource.codes/
© 2021 Science X Network
Citación: Error ‘Trojan Source’, una forma novedosa de atacar codificaciones de programas (2021, 3 de noviembre) recuperado el 3 de noviembre de 2021 de https://techxplore.com/news/2021-11-trojan-source-bug-encodings.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
