译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1474
术语表: /attack/glossary
正如 ATT&CK forEnterprise 中的进一步描述,供应链攻击是指为了数据或系统攻击,在最终消费者收到产品之前,对产品或产品交付机制进行的操纵。与此相关的是,攻击者还可以识别并利用无意中出现的漏洞。在许多情况下,可能难以确定可利用的功能是由于恶意还是仅仅是无意的错误。
相关的 PRE-ATT&CK 技术包括: - 识别第三方软件库中的漏洞(Identify vulnerabilities in third-party software libraries) 整合到移动应用程序中的第三方库可能包含恶意行为、隐私入侵行为或可利用的漏洞。攻击者可以故意插入恶意行为或利用无意的漏洞。例如,NowSecure 的 Ryan Welton 指出了第三方广告库 中可利用的远程代码执行漏洞。Grace 等人发现了移动广告库 中安全问题。