Το έργο ανοικτού κώδικα Moq (προφέρεται “Mock”) έχει προκαλέσει έντονη κριτική επειδή συμπεριέλαβε αθόρυβα μια αμφιλεγόμενη εξάρτηση στην τελευταία του έκδοση.
Δείτε επίσης: Microsoft Patch Tuesday Αυγούστου: Προειδοποιεί για 2 zero-days
Διανέμεται στο μητρώο λογισμικού NuGet, το Moq βλέπει πάνω από 100.000 λήψεις σε κάθε δεδομένη ημέρα και έχει μεταφορτωθεί πάνω από 476 εκατομμύρια φορές κατά τη διάρκεια της ζωής του.
Η έκδοση 4.20.0 του Moq από αυτή την εβδομάδα συμπεριέλαβε αθόρυβα ένα άλλο έργο, το SponsorLink, το οποίο προκάλεσε αναταραχή μεταξύ των καταναλωτών λογισμικού ανοιχτού κώδικα, οι οποίοι παρομοίασαν την κίνηση αυτή με παραβίαση της εμπιστοσύνης.
Φαινομενικά ένα έργο ανοικτού κώδικα, το SponsorLink διατίθεται στην πραγματικότητα στο NuGet ως κλειστού κώδικα και περιέχει συγκεκαλυμμένα DLL που συλλέγουν κατακερματισμούς των διευθύνσεων ηλεκτρονικού ταχυδρομείου των χρηστών και τις στέλνουν στο CDN της SponsorLink, εγείροντας ανησυχίες για την προστασία της ιδιωτικότητας.
Το Moq κλονίζει την εμπιστοσύνη των χρηστών
Την περασμένη εβδομάδα, ο Daniel Cazzulino (kzu), ένας από τους ιδιοκτήτες του Moq και συντηρητής του έργου SponsorLink, πρόσθεσε το SponsorLink στις εκδόσεις Moq 4.20.0 και άνω. Αυτή η κίνηση προκάλεσε αντιπαράθεση για δύο λόγους: Ο Cazzulino δεν ενημέρωσε τη βάση χρηστών πριν από την ενσωμάτωση της εξάρτησης, και τα DLLs του SponsorLink περιέχουν ασαφή κώδικα, γεγονός που καθιστά δύσκολη την αντίστροφη μηχανική και όχι ακριβώς “ανοιχτό κώδικα”. Ο Georg Dangl, προγραμματιστής λογισμικού με έδρα τη Γερμανία, ανέφερε ότι το SponsorLink περιλαμβάνεται στην έκδοση 4.20.0 του Moq και είναι ένα έργο κλειστού κώδικα που σαρώνει τα τοπικά δεδομένα και στέλνει το hashed email του τρέχοντος προγραμματιστή σε μια υπηρεσία cloud. Η δυνατότητα σάρωσης αποτελεί μέρος του εργαλείου ανάλυσης .NET που εκτελείται κατά τη διαδικασία κατασκευής και είναι δύσκολο να απενεργοποιηθεί. Ο Dangl προειδοποιεί ότι αυτό είναι “αρκετά τρομακτικό από την άποψη της ιδιωτικότητας”. Το SponsorLink περιγράφει τον εαυτό του ως ένα μέσο ενσωμάτωσης των χορηγών του GitHub σε βιβλιοθήκες, ώστε οι χρήστες να μπορούν να συνδέονται κατάλληλα με τη χορηγία τους για να ξεκλειδώνουν χαρακτηριστικά ή να λαμβάνουν αναγνώριση για την υποστήριξη ενός έργου.
Ο χρήστης του GitHub Mike (d0pare) αποσυμπίεσε τα DLL και μοιράστηκε μια πρόχειρη ανακατασκευή του πηγαίου κώδικα. Η βιβλιοθήκη, σύμφωνα με τον αναλυτή, ” δημιουργεί μια εξωτερική διεργασία git για να πάρει το email σας”.
Στη συνέχεια υπολογίζει ένα SHA-256 hash των διευθύνσεων ηλεκτρονικού ταχυδρομείου και το στέλνει στο CDN της SponsorLink: hxxps://cdn.devlooped[.]com/sponsorlink.
“Ειλικρινά, η Microsoft θα πρέπει να βάλει στη μαύρη λίστα αυτό το πακέτο που συνεργάζεται με τους παρόχους NuGet”, γράφει ο προγραμματιστής Travis Taylor από το Austin.
“Ο συγγραφέας δεν μπορεί να είναι αξιόπιστος. Αυτή ήταν μια απίστευτα ηλίθια κίνηση που απλά δημιούργησε έναν τόνο δουλειάς για πολλούς ανθρώπους”.
Πρόταση: Ισραηλινό νοσοκομείο δέχτηκε επίθεση ransomware
Ο προγραμματιστής υπερασπίζεται την αλλαγή
Σε ένα σχόλιο, ο Cazzulino, εξήγησε τους λόγους για την προσθήκη του SponsorLink στις εκδόσεις Moq 4.20.0 και άνω. Παραδέχτηκε ότι η έκδοση “4.20” ήταν “ένα τσίμπημα για να μην το πάρουν τόσο σοβαρά” και ότι “δοκίμαζε τα νερά με το SponsorLink εδώ και καιρό”. Ο Cazzulino ενημέρωσε το README του έργου SponsorLink με μια ενότητα “Privacy Considerations” που διευκρινίζει ότι δεν συλλέγονται πραγματικές διευθύνσεις ηλεκτρονικού ταχυδρομείου, παρά μόνο τα hashes τους. Η ενημέρωση έγινε μετά την εμφάνιση των αντιδράσεων.
Η Ankita Lamba, ανώτερη ερευνήτρια ασφαλείας στη Sonatype, δήλωσε στο BleepingComputer ότι η ανακοίνωση φαίνεται να είναι μια αντιδραστική απάντηση στις διαδικτυακές αντιδράσεις και όχι ότι το έργο ήταν ειλικρινές σχετικά με το ποια δεδομένα συλλέγονται. Στο παρελθόν, ο Cazzulino έχει υπερασπιστεί την απόφασή του να κρατήσει το SponsorLink κλειστού κώδικα και να το κρύψει για να αποτρέψει την παράκαμψη ορισμένων ελέγχων του.
Πιθανή ανησυχία για την ιδιωτικότητα
Η αθόρυβη συμπερίληψη του SponsorLink σε έργα, όπως το moq, είναι ένα θέμα ιδιωτικότητας από δεοντολογική και νομική άποψη.
Η συμπερίληψη μιας ασαφούς εξάρτησης κλειστού κώδικα (SponsorLink) σε δημοφιλή έργα ανοικτού κώδικα όπως το GitInfo, το οποίο έχει επίσης δημιουργηθεί από τον Daniel Cazzulino (kzu) και έχει μεταφορτωθεί εκατομμύρια φορές, έχει προκαλέσει ανησυχίες. Η συλλογή hashes διευθύνσεων ηλεκτρονικού ταχυδρομείου μπορεί να μην είναι εντελώς ανώνυμη, καθώς ο προγραμματιστής του SponsorLink θα μπορούσε θεωρητικά να συγκρίνει τα hashes που συλλέγονται με μια βάση δεδομένων με διευθύνσεις ηλεκτρονικού ταχυδρομείου που έχουν διαρρεύσει για να εντοπίσει τους χρήστες.
Ο Michał Rosenbaum δηλώνει ότι ακόμη και τα hashed emails θα πρέπει να αποστέλλονται μόνο μετά από συγκατάθεση. Αρκετοί προγραμματιστές έχουν απειλήσει να διακόψουν τη χρήση του Moq υπέρ εναλλακτικών λύσεων ή να δημιουργήσουν εργαλεία που θα εντοπίζουν και θα μπλοκάρουν οποιαδήποτε έργα που εκτελούν το SponsorLink. Ορισμένοι πρότειναν ακόμη και το μποϊκοτάρισμα έργων που χρησιμοποιούν το SponsorLink ή την αναφορά του ως κακόβουλο λογισμικό στο μητρώο NuGet.
Διαβάστε επίσης: Η Interpol καταργεί την πλατφόρμα 16shop phishing-as-a-service
πηγή πληροφοριών:bleepingcomputer.com
 έχει προκαλέσει έντονη κριτική επειδή συμπεριέλαβε αθόρυβα μια αμφιλεγόμενη){kind=link}