Бесплатно Экспресс-аудит сайта:

16.08.2022

Корпорации грабят независимых разработчиков, отбирая у них код

Согласно анализу исследователей, некоторые коммерческие продукты кибербезопасности копируют алгоритмы других ИБ-инструментов без разрешения. Результаты исследования будут представлены в четверг 18 августа на конференции Black Hat в Лас-Вегасе специалистами:

  • Томом Макгуайром, инструктором Университета Джона Хопкинса;
  • Патриком Уордлом, экспертом по безопасности macOS и основателем некоммерческой организации Objective-See Foundation.

Анализ был сосредоточен на OverSight , бесплатном инструменте Фонда Objective-See Foundation. Приложение позволяет пользователю контролировать микрофон и веб-камеру Mac и предупреждает каждый раз, когда активируются микрофон или камера.

Анализ привел к обнаружению 3-ех инструментов безопасности от 3-ех разных компаний, которые использовали алгоритмы OverSight без авторизации. OverSight доступен как бесплатный инструмент с 2016 года, но он стал открытым только в 2021 году.

С помощью правил Google и Yara исследователи идентифицировали коммерческие продукты, используя те же имена методов, пути, строки, недокументированные ключи реестра и логику синтаксического анализа, что и OverSight.

Компании-нарушители пообещали удалить код и предложили финансовую компенсацию. По словам Уордла, предложенная компенсация была достаточно разумной. Деньги будут использованы фондом Objective-See Foundation для конференции « Objective by the Sea », книг и бесплатных инструментов.

Однако, все компании стремились внести изменения и не допустить такую практику в будущем, что было одной из основных целей проекта, наряду с привлечением внимания к проблеме.

Названия компаний не раскрываются. Однако, по словам Уордла, это были мелкие и крупные компании, которые использовали украденный код для различных продуктов, включая простые утилиты и более крупные продукты безопасности macOS. Большинство из них являются специализированными ИБ-компаниями, но алгоритмы также использовались не по назначению.

Исследователи также заявили, что в большинстве случаев нарушение является делом рук одного невнимательного разработчика, а не «злого умысла всей корпорации».

Цель этого исследования состояла в том, чтобы побудить других изучить эти методы и помочь разработчикам выяснить, был ли украден их код. Исследователи считают, что эта практика очень распространена. Для выявления этого типа кражи нужен как разработчик ПО, так и компетентный реверс-инженер.