雅加达 - Patrick Wardle被称为Mac上的恶意软件专家。但他在这家总部位于库比蒂诺的公司的工作比他意识到的要远得多。
除了前NSA和NASA员工外,他还是Objective-See基金会的创始人,这是一个为macOS创建开源安全工具的非营利组织。在这个角色中,Wardle 的许多软件代码现在都可以免费下载和反编译。甚至其中一些代码似乎也吸引了未经他许可使用它们的科技公司的注意。
Wardle将于8月12日星期四与约翰霍普金斯大学网络安全研究员Tom McGuire在Black Hat网络安全会议上发表演讲 。
研究人员发现,由Wardle编写并作为开源发布的代码多年来已经进入了许多商业产品。但所有用户都不会给予他荣誉或 许可并支付工作费用。
Wardle说, 问题在于很难证明代码是被盗的,而不是偶然以同样的方式实现的。幸运的是,由于Wardle在逆向工程软件方面的专业知识,他能够比大多数人取得更大的进步。
“我只能找出[代码盗窃],因为我编写逆向工程工具和软件,这并不常见,”Wardle告诉The Verge。“因为我跨越了这两个学科,所以我可以发现它发生在我的工具上,但其他独立开发者可能无法做到这一点,这是一个问题。
盗窃提醒人们,开源代码的不稳定状态,它支撑着互联网的大部分。开源开发人员通常在特定许可证的条件下提供他们的作品。
但是,由于代码通常已经是公开的,因此几乎没有保护措施可以防止不道德的开发人员决定利用它。
在最近的一个例子中,据称唐纳德·特朗普支持的Truth Social应用程序从Mastodon的开源项目中筹集了大部分代码,导致Mastodon创始人的正式投诉。
Wardle案例中的一个典型例子是Wardle在2016年发布的名为OverSight的软件工具。监控是作为一种监视任何macOS应用程序是否秘密访问麦克风或网络摄像头的方法而开发的,取得了很大的成功:它不仅可以有效地找到监视用户的Mac恶意软件,还可以暴露诸如Shazam之类的合法应用程序始终在后台收听的事实。
Wardle的堂兄Josh Wardle创造了流行的Wordle游戏,他说他之所以开发OverSight,是因为Mac用户没有简单的方法来确认哪个应用程序在任何给定时间激活录制硬件,特别是如果该应用程序被设计为静音运行。
为了克服这一挑战,其软件使用了分析技术的组合,这些技术被证明是不寻常的,因此是独一无二的。
但在《监督》发布多年后,他惊讶地发现许多商业应用程序在自己的产品中集成了类似的应用程序逻辑。甚至到了复制与Wardle代码相同的错误的程度。
三家不同的公司被发现将基于Wardle工作的技术整合到他们自己的商业销售软件中。黑帽谈判中没有提到任何一家暗示的公司,因为沃德尔说,他认为代码盗窃可能是员工的工作,而不是自上而下的策略。
“面对它,该公司也做出了积极的反应,”沃德尔说。据报道,他接触过的所有三家供应商都承认,他的代码在未经许可的情况下被用于他们的产品中,最终都直接支付了费用或向Objective-See基金会捐款。
代码盗窃是一个不幸的现实,但通过关注它,Wardle希望帮助开发人员和公司保护他们的利益。
对于软件开发人员,他建议任何编写代码的人, 无论是开源的还是闭源的,都应该假设它会被盗, 并学习如何应用可以帮助发现这种情况的技术。
对于公司,他建议他们更好地教育员工关于逆向工程其他产品的法律框架,以获得商业利益。最后,他希望他们停止偷窃。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
