シェア:

ジャカルタ - Patrick WardleはMacのマルウェアスペシャリストとして知られています。しかし、このクパチーノに本拠を置く会社での彼の仕事は、彼が気づいていたよりも遠くまで旅をしてきました。

NSAとNASAの元従業員に加えて、彼はmacOS用のオープンソースセキュリティツールを作成する非営利団体であるObjective-See Foundationの創設者でもあります。この役割において、Wardleの ソフトウェアコードの多くは、ダウンロードと逆コンパイルが自由にできるようになりました。これらのコードのいくつかでさえ、彼の許可なしにそれらを使用するハイテク企業の注目を集めているようです。

Wardleは、8月12日(木)に ジョンズホプキンス大学のサイバーセキュリティ研究者であるTom McGuireとのBlack Hatサイバーセキュリティ会議でプレゼンテーションで彼のケースを発表します。

研究者らは、Wardleによって書かれ、オープンソースとしてリリースされたコードが、長年にわたって多くの商用製品に組み込まれていることを発見しました。しかし、すべてのユーザーは彼にクレジットを与えたり、ライセンスを与えたり 、作品の代金を支払ったりしません。

ウォードル氏によると、問題は、偶然に同じ方法で実装されたのではなく、 コードが盗まれたことを証明するのが難しいことです。幸いなことに、ワードルのリバースエンジニアリングソフトウェアの専門知識のおかげで、彼はほとんどの人よりも多くの進歩を遂げることができました。

「(コード窃盗を)見つけることができるのは、リバースエンジニアリングツールとソフトウェアを書くからで、あまり一般的ではありません」とWardle氏はThe Vergeに語った。「私はこれら2つの分野にまたがっているので、私のツールに起こっていることがわかりますが、他のインディー開発者はそれを実行できないかもしれません。

盗難は、インターネットの大部分を支えるオープンソースコードの不安定な状態を思い出させるものです。オープンソースの開発者は、通常、特定のライセンスの条件下で自分の作品を利用可能にします。

しかし、多くの場合、コードはすでに公開されているため、悪用することを決定した悪質な開発者に対する保護はほとんどありません。

最近の例では、ドナルド・トランプが支援するTruth Socialアプリが、コードの大部分をMastodonのオープンソースプロジェクトから調達したとされ、その結果、Mastodonの創設者から公式の苦情が寄せられました。

Wardleのケースの代表的な例の1つは、Wardleが2016年にリリースしたOverSightと呼ばれるソフトウェアツールです。監視は、macOSアプリケーションが密かにマイクやウェブカメラにアクセスしているかどうかを監視する方法として開発され、多くの成功を収めました:ユーザーを監視しているMacマルウェアを見つける方法としてだけでなく、Shazamなどの正当なアプリケーションが常にバックグラウンドで聞いているという事実を明らかにするためにも効果的です。

いとこのJosh Wardleが人気のWordleゲームを作ったWardleは、Macユーザーがどのアプリがいつでも録音ハードウェアをアクティブにするかを確認する簡単な方法がないため、特にアプリが静かに動作するように設計されている場合、OverSightを構築したと語った。

この課題を克服するために、そのソフトウェアは、珍しい、したがって、ユニークなことが判明した分析技術の組み合わせを使用しています。

しかし、Oversightがリリースされてから数年後、彼は自社製品に同様のアプリケーションロジックを組み込んだ多くの商用アプリケーションを見つけて驚きました。Wardleのコードと同じバグを複製する点まで。

3つの異なる会社が、Wardleの仕事に基づいた技術を商業的に販売された独自のソフトウェアに組み込んでいることが判明しました。ブラックハットの会談では、コード窃盗はトップダウン戦略ではなく、従業員の仕事である可能性が高いと考えているとウォードル氏は述べたように、ほのめかす企業はなかった。

「同社はまた、それに直面したときにも肯定的な反応を示しました」とWardleは言いました。彼がアプローチした3つのベンダーはすべて、彼のコードが許可なく製品に使用されたことを認め、すべて直接支払うか、Objective-See Foundationにお金を寄付することになりました。

コード窃盗は不幸な現実ですが、Wardleはそれに注意を払うことで、開発者や企業が彼らの利益を守るのを助けたいと考えています。

ソフトウェア開発者にとって、オープンソースであろうとクローズドソースであろうと、 コードを書く人は誰でもそれが盗まれると仮定し、 これが事実であるケースを明らかにするのに役立つテクニックを適用する方法を学ぶべきであると彼は提案しています。

企業にとっては、商業的利益のために他の製品をリバースエンジニアリングすることに関する法的枠組みについて従業員をよりよく教育することを提案した。結局、彼は彼らが盗むのをやめることを望んでいました。


The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)