Patrick Wardle は Mac マルウェアのスペシャリストとして知られていますが、彼の仕事は彼が思っていたよりもはるかに進んでいます..
NSA と NASA の元職員であり、 Objective-See 財団: macOS 用のオープンソース セキュリティ ツールを作成する非営利団体。 後者の役割は、多くの Wardle のソフトウェア コードが現在、自由にダウンロードして逆コンパイルできることを意味します。このコードの一部は、彼の許可なしにそれを使用しているテクノロジー企業の目に留まったようです。
Wardle 氏は、木曜日に開催される Black Hat サイバーセキュリティ カンファレンスで、Johns Hopkins University のサイバーセキュリティ研究者である Tom McGuire 氏とのプレゼンテーションで、彼の主張を説明します。 研究者は、Wardle によって書かれ、オープン ソースとしてリリースされたコードが、長年にわたって多くの商用製品に組み込まれていることを発見しました。すべてのユーザーは、Wardle の功績を称えたり、ライセンスを付与したり、作品にお金を払ったりしていません。
ワードル氏によると、問題はコードが盗まれたことを証明するのが難しいことであり、偶然に同じような方法で実装されたということではありません。 幸いなことに、ソフトウェアのリバース エンジニアリングにおける Wardle のスキルのおかげで、彼は他の誰よりも多くの進歩を遂げることができました。
「思いつくことしかできなかった [the code theft] 私はツールとリバース エンジニアリング ソフトウェアの両方を書いていますが、これはあまり一般的ではありません」と Wardle 氏は語っています。 ザ・バージ 話の前に電話で。 「私はこれらの分野の両方にまたがっているので、自分のツールでそれが起こっていることを見つけることができましたが、他のインディー開発者はできないかもしれません。これが懸念事項です.」
盗難は、インターネットの膨大な部分を支えているオープンソース コードの不安定な状況を思い起こさせます。 オープンソースの開発者は通常、特定のライセンス条件の下で作品を公開しますが、コードはすでに公開されていることが多いため、それを悪用しようとする悪意のある開発者に対する保護はほとんどありません。 最近の例では、Trump が支援する Truth Social アプリが、オープンソースの Mastodon プロジェクトからコードのかなりの部分を削除したとされており、Mastodon の創設者から正式な苦情が寄せられました。
Wardle の場合の中心的な例の 1 つは、と呼ばれるソフトウェア ツールです。 監視、2016 年に Wardle がリリースしたものです。Oversight は、macOS アプリケーションがマイクや Web カメラに密かにアクセスしているかどうかを監視する方法として開発され、多くの成功を収めました。 ユーザーを監視していた Mac マルウェアだけでなく、Shazam のような正規のアプリケーションが バックグラウンドで常に聞いていた.
Wardle — 彼のいとこ Josh Wardle が人気の Wordle ゲームを作成しました — 彼が OverSight を構築したのは、特にアプリケーションが実行するように設計されている場合、特定の時間にどのアプリケーションが記録ハードウェアをアクティブにしているかを Mac ユーザーが確認する簡単な方法がなかったからだと言います。ひそかに。 この課題を解決するために、彼のソフトウェアは分析技術の組み合わせを使用しましたが、それは異常であり、したがってユニークであることが判明しました。
しかし、Oversight がリリースされてから数年後、Wardle のコードと同じバグを再現するなど、独自の製品に同様のアプリケーション ロジックを組み込んだ多数の商用アプリケーションを見つけて、彼は驚きました。
:format(webp):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23937422/DEFCON_slide___OverSight_code_snippet.png)
3 つの異なる企業が、Wardle の研究から得た技術を自社の市販ソフトウェアに組み込んでいることが判明しました。 Wardle 氏は、コードの盗難はトップダウンの戦略ではなく、個々の従業員の仕業である可能性が高いと考えているため、Black Hat の講演では問題のある企業の名前は挙げられていません。
Wardle 氏によると、この問題に直面したときも企業は前向きな反応を示しました。Wardle 氏が接触した 3 つのベンダーはすべて、彼のコードが許可なく自社製品に使用されたことを認め、最終的にはすべて彼に直接支払いを行うか、Objective See Foundation に寄付しました。
コードの盗難は残念な現実ですが、Wardle はそれに注意を向けることで、開発者と企業の両方の利益を保護できるようにしたいと考えています。 ソフトウェア開発者に対して、彼は、コードを書く人は誰でも (オープン ソースかクローズド ソースかを問わず)、コードが盗まれると想定し、盗まれた事例を発見するのに役立つ手法を適用する方法を学ぶべきだとアドバイスしています。
企業の場合、彼は、商業的利益のために別の製品をリバースエンジニアリングすることを取り巻く法的枠組みについて、従業員をよりよく教育することを提案しています. そして最終的には、彼らが盗みをやめることを望んでいます。