剑桥大学研究人员发现一个能感染大部分计算机程序码编译器及许多软件开发环境的程式漏洞,并将运用这漏洞的攻击称为“木马化源代码”(Trojan Source)攻击。电脑安全学者甚至称为第一个能感染一切的安全漏洞,透过这个漏洞,骇客可对整个电脑软件业发动供应链攻击(Supply Chain Attack)。
Trojan Source 攻击可说是“同形字攻击”(Homoglyph Attack)进一步发展下的新型态攻击手法,能透过 Unicode 万用码控制字元滥用,让人们从屏幕看到的源代码与编译器(Compiler)产生的二进制码截然不同。攻击者透过这手法让明明有安全疑虑的源代码,在程式码审查人员眼中觉得安全无害。一旦这些动过手脚的源代码整并到其他重要程式码或程式库,整个软件供应链就被植入木马一般,接下来就等著被攻击。
对骇客而言,编译器与万国码扮演“协助”Trojan Source 漏洞横空出世的重要角色。首先,目前所有编译器都有弱点,导致骇客能将针对性漏洞引进任何软件而不被侦测。
万国码最大特点就是允许电脑在无关使用语言下交换资讯,但 Trojan Source 漏洞主要涉及万国码双向(Bi-directinal,Bidi)算法。
由于透过 Bidi override 控制字元便能改变文字书写的顺序与方向,加上大部分程式语言允许将这些 Bidi override 控制字元置入注解与字串,偏偏大部分程式语言允许编译器与直译器(Interpreter)忽略注解所有纯文字(包括控制字元),还允许字串字面值(string literal)包含控制字元等任意字元,给骇客大加利用源代码的机会。骗过程式码审查人员后,骇客仿佛获得打造“完全隐性”针对性源代码漏洞的特异武功,堂而皇之将源代码与漏洞布建到软件供应链每个环节,为进一步软件供应链攻击做好准备。
- ‘Trojan Source’ Bug Threatens the Security of All Code
(首图来源:Google Cloud)
