นักวิจัยที่ชื่อว่า mschwager ได้ออกมาเปิดเผยถึงช่องโหว่จากโปรแกรมติดตั้ง Python ที่สามารถทำให้ Hacker วางโค้ดที่เป็นอันตรายลงในโปรแกรม และสั่งรันโค้ดได้โดยใช้สิทธิ์ระดับ root ได้
ตามปกติแล้วโมดูลของ Python จะใช้ตัวจัดการการติดตั้งที่เรียกว่า ‘pip’ จะทำการเรียกไฟล์ ‘setup.py’ ซึ่งเป็นไฟล์ที่ผู้พัฒนาเขียนขึ้นมาเพื่อใช้ในการติดตั้งโปรแกรม Python ไฟล์ ‘setup.py’ นี้จึงไม่ค่อยมีคนให้ความสนใจเท่าไหร่ เพราะเป็นไฟล์ที่ช่วยให้ผู้ใช้ติดตั้งโปรแกรมเท่านั้นเอง
ด้วยเหตุนี้เองจึงทำให้ Hacker สามารถใส่โค้ดที่เป็นอันตรายลงในไฟล์ ‘setup.py’ และทำให้โปรแกรมติดตั้งนั้นเป็นมัลแวร์ โดยที่ไม่มีใครสังเกต หรือเอะใจเลย
งานนี้ทาง mschwager ได้ทำการพิสูจน์ถึงการทำงานของโค้ดติดตั้งแล้ว โดยใช้ชื่อว่า 0wned โค้ดที่แสดงต่อไปนี้แสดงให้เห็นวิธีการทำงานในระดับ ‘PostInstallCommand’ เมื่อทำการรัน ‘pip install’
mschwager แนะนำว่าควรให้ผู้พัฒนาซอฟต์แวร์ควรตรวจสอบโปรแกรมการติดตั้งของ Python ที่ติดตั้งอยู่ในระบบโดยเฉพาะอย่างยิ่งสิทธิ์การเข้าใช้งานในระดับ root
ที่มา :Bleeping Computer
