Эксперты по информационной безопасности провели исследование и выяснили, что часть коммерческих продуктов в сфере кибербезопасности без разрешения копирует алгоритмы других ИБ-инструментов. Данные результаты специалисты из университета Джонса Хопкинса и некоммерческой организации Objective-See Foundation собираются представить 18 августа 2022 года на конференции Black Hat в Лас-Вегасе.
Результаты анализа показали три инструмента безопасности на основе алгоритмов OverSight от трёх различных компаний. Данный инструмент бесплатен с 2016 года, но открыт стал только в 2021 году. Он принадлежит некоммерческой организации Objective-See Foundation. Приложение помогает пользователям macOS контролировать микрофон и веб-камеру, а также каждый раз предупреждает об их активации.
Исследователи использовали правила Google и Yara для идентификации коммерческих продуктов, использующих имена методов, пути, строки, недокументированные ключи реестра и логику синтаксического анализа, которые использует OverSight.
Как заявил основатель Objective-See Foundation Патрик Уордл, компании, пользующиеся без спроса их инструментом, обещали удалить код и предложили финансовую компенсацию. Полученные средства организация планирует использовать для конференции «Objective by the Sea», выпуска книг, а также других бесплатных инструментов. На данный момент все компании стремятся внести изменения и не прибегать к подобной практике в будущем. Полный список компаний не раскрывается, но Уордл утверждает, что это были разные компании: как мелкие, так и крупные. Они пользовались украденным кодом для различных продуктов: от простых утилит до серьёзных продуктов безопасности macOS.
Многие из компаний, указанных в исследовании, являются ИБ-компаниями, но алгоритмы были использованы не по назначению. Эксперты заявляют, что нарушения по большей части — дело рук одного невнимательного разработчика, а не попытка корпораций нажиться на инструменте. Цель данного исследования состоит в том, чтобы изучить подобные методы и показать разработчикам, как они могут выяснить, был ли украден их код. Исследователи предполагают, что такая практика очень распространена. Однако для выяснения кражи нужен не только разработчик ПО, но и реверс-инженер.
