A Microsoft leányvállalataként működő GitHub fejlesztői platform tulajdonképpen egy közösségi oldal a kódo(ló)k számára. A fejlesztők itt különféle programkódokat hozhatnak létre, megoszthatják másokkal, együttműködhetnek egymással, tanulhatnak egymástól.

A platformon nyílt forráskódú szoftverek születnek, melyek később sok felhasználó gépén kikötnek. Emiatt ad aggodalomra okot, hogy a McAfee biztonsági kutatói egy olyan sérülékenységre bukkantak a GitHub megjegyzésfájl-feltöltő rendszerében, amely rosszindulatú programok terjesztésére használható.

Amikor egy felhasználó feltölt egy fájlt egy GitHub-megjegyzéshez (még akkor is, ha magát a megjegyzést soha nem teszik közzé), a rendszer automatikusan generál egy letöltési hivatkozást. Ez tartalmazza az adattár nevét és tulajdonosát. Ha ez megbízhatónak tűnik, akkor a potenciális áldozatok azt gondolhatják, hogy a fájl legitim.

A hackerek rosszindulatú programokat tölthetnek fel egy véletlenszerű adattárba, és úgy tűnhet, hogy a letöltési link, mert mondjuk szerepel benne a Microsoft neve, egy jól ismert fejlesztőtől vagy cégtől származik. Az különösen kellemetlen, hogy ennek a sérülékenységnek a kihasználása nem igényel technikai szakértelmet: elég egy rosszindulatú fájl feltöltése egy megjegyzéshez. A folyamat során tehát visszaélnek a fájlfeltöltési logikával a GitHub megjegyzéseiben, és a rendszer segítségével automatikusan generálnak letöltési hivatkozásokat a tároló tulajdonosának nevével, függetlenül a kommentelő személyétől vagy magának a fájlnak a tartalmától.

Mivel a fájl URL-je tartalmazza annak a tárolónak a nevét, amelyben a megjegyzést létrehozták, és mivel szinte minden szoftvercég használja a GitHubot, ez a hiba lehetővé teheti a fenyegetés szereplői számára, hogy rendkívül ravasz és megbízható csalikat fejlesszenek ki – magyarázza a Bleeping Computer. Példákat is említ. Egy hacker feltöltheti egy olyan rosszindulatú program futtatható fájlját az NVIDIA illesztőprogram-telepítő tárházába, amely úgy tesz, mintha egy új illesztőprogram lenne egy népszerű játék problémáinak kijavítására. Vagy feltölthet egy fájlt egy megjegyzésben a Google Chromium forráskódjába, és úgy tehet, mintha az a webböngésző új tesztverziója lenne. Mivel úgy tűnik, mintha ezek az URL-ek a vállalat adattáraihoz tartoznak, így sokkal megbízhatóbbaknak látszanak.

Az egyetlen megoldás mindezek ellen a megjegyzések teljes letiltása lehet, de ez több problémát okoz, mint amennyit megold. A törvényes felhasználók gyakran a megjegyzések részbe lépnek, hogy hibákat jelentsenek, vagy minőségi javaslatokat adjanak a projekthez. Ráadásul a megjegyzéseket egyszerre legfeljebb hat hónapig lehet letiltani.

A GitHub ugyan eltávolított néhány, a jelentésekben azonosított rosszindulatú feltöltést, azonban a mögöttes biztonsági rést még nem javították, és egyelőre nem tudni, hogy erre mikor kerül sor.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.