Açık kaynaklı proje MOQ ("Mock" olarak telaffuz edildi), son sürümünde tartışmalı bir bağımlılık da dahil olmak üzere sessizce keskin bir eleştiri aldı.
Nuget Yazılım Kayıt Defteri'nde dağıtılan MOQ, herhangi bir günde 100.000'den fazla indirme görüyor ve yaşamı boyunca 476 milyondan fazla kez indirildi.
MOQ'nun bu haftanın 4.20.0 sürümü, sessizce, güven ihlali hareketini seven açık kaynaklı yazılım tüketicileri arasında bir kargaşaya neden olan başka bir proje olan SponsorLink'i içeriyordu.
Görünüşe göre açık kaynaklı bir proje olan SponsorLink aslında NuGet'e kapalı kaynak olarak gönderiliyor ve kullanıcı e-posta adreslerinin karmalarını toplayan ve bunları SponsorLink'in CDN'sine gönderen gizlilik endişelerini artıran gizlenmiş DLL'ler içeriyor.
Geçen hafta, SponsorLink projesini de sürdüren MOQ'nun sahiplerinden biri olan Daniel Cazzulino (KZU), SponsorLink'i MOQ 4.20.0 ve üstüne ekledi.
Bu hareket, açık kaynak ekosistemine şok dalgaları büyük ölçüde iki nedenden dolayı gönderdi - Cazzulino projesini değiştirme hakkına sahipken, bağımlılığı bir araya getirmeden önce kullanıcı tabanını bilgilendirmedi ve sponsorLink DLL'leri gizlenmiş kod içerir, bu da zordur Tersine mühendis ve "açık kaynak" değil.
Almanya merkezli yazılım geliştiricisi Georg Dangl, "Görünüşe göre 4.20 sürümünden başlayarak SponsorLink dahil edildi."
"Bu, en azından yerel verileri (GIT yapılandırması?) Taranmış gibi görünen ve mevcut geliştiricinin karma e-postasını bir bulut hizmetine gönderen bir DLL olarak sağlanan kapalı kaynaklı bir projedir."
Tarama yeteneği, oluşturma işlemi sırasında çalışan ve devre dışı bırakılması zor olan .NET Analizör aracının bir parçasıdır.
"Arkasındaki mantığı anlayabiliyorum, ama bu dürüstçe gizlilik açısından oldukça korkutucu."
SponsorLink, kendisini GitHub sponsorlarını kütüphanelerinize entegre etmek için bir araç olarak tanımlamaktadır, böylece "kullanıcılar özelliklerin kilidini açmak veya projenizi desteklemek için hak ettikleri tanınmayı almak için sponsorluklarına uygun şekilde bağlantılı olabilirler."
Github kullanıcısı Mike (D0PARE) DLL'leri ayrıştırdı ve kaynak kodunun kaba bir şekilde yeniden yapılandırılmasını paylaştı. Analiste göre kütüphane, "e -postanızı almak için harici git sürecini ortaya çıkarıyor."
Daha sonra e-posta adreslerinin bir SHA-256 karmasını hesaplar ve SponsorLink'in CDN'sine gönderir: hxxps: //cdn.devlooped [.] Com/sponsorlink.
Austin merkezli geliştirici Travis Taylor, "Dürüst olmak gerekirse Microsoft, bu paketi Nuget sağlayıcılarıyla çalışarak kara listelemelidir."
"Yazar güvenilemez. Bu inanılmaz derecede aptalca bir hareketti, bu da birçok insan için bir ton iş yarattı."
Bir yorumda, Cazzulino nedenlerini açıkladı ve "4.20" versiyonunun "insanlar bu kadar ciddiye almaması için" bir jab olduğunu itiraf etti.
Cazzulino, "Bir süredir (duyurudan bu yana ~ 6 ay) suları sponsorlinle test ediyorum." Diyor.
"Gerçek geri bildirim almak zor oldu, bu yüzden yorumlar" bit "sert olsa bile, gerçekten takdir ediyorum!"
Cazzulino, SponsorLink projesinin ReadMe'sini, aşağıda gösterilen ve hiçbir gerçek e -posta adresinin, sadece karmalarının toplanmadığını açıklayan uzun bir "gizlilik hususları" bölümüyle güncelledi. Güncelleme birkaç saat önce geldi - tepki ortaya çıktıktan sonra.
SponsorLink'in açık rızanız olmadan e -postanızı toplayabileceği konusunda bazı endişeler vardı. Bu yanlıştır ve ne tür bir trafik olduğunu görmek için kemancı çalıştırarak kolayca doğrulanabilir. Özellikle, sponsor kontrolü gerçekleştirirken gerçek e -posta asla gönderilmez. Yerel makinenizdeki e-posta, SHA256, ardından Base62 kodlu Hashed. Ortaya çıkan opak dizesi (kaynaklanan e -postayı asla ortaya çıkaramaz) kullanılan tek şeydir. SponsorLink'in aslında e-posta adresinizi alır (bu opak dizinin arka uç ilişkisini gerçek e-postanız ve GH kullanıcısınızla oluşturmak için), SponsorLink Github uygulamasını yükledikten ve bunu yapmak için açık bir izin verdikten sonra. . Ayrıca, uygulamayı askıya aldığınız veya kaldırdığınız anda, hesabınızla ve e -postalarınızla ilişkili tüm kayıtları siliyoruz.
Sonatype kıdemli güvenlik araştırmacısı Ankita Lamba, güncellemeyi tespit ettikten sonra BleepingComputer'a verdiği demeçte, "Bildirim, projenin hangi verilerin hasat edildiği konusunda açık olması yerine çevrimiçi tepkiye reaktif bir yanıt gibi görünüyor."
Geçmişte, Cazzulino da sponsorlink kapalı kaynağı tutma kararını savundu ve bazı çeklerinin atlanmasını önlemek için gizlendi. Onun sözleriyle, kütüphanenin opak özellikleri "tasarıma göre".
SponsorLink'in MOQ gibi projelere sessiz dahil edilmesi, etik ve yasal açıdan gizlilik meselesidir.
İlk olarak, açık kaynak kanalları aracılığıyla dağıtılması ve Cazzulino tarafından da oluşturulan ve milyonlarca kez indirilen Gitinfo gibi popüler OSS projelerine dahil edilen belirsiz, kapalı kaynaklı bir bağımlılık (SponsorLink) sorunu geliyor.
E -posta adresi karmalarının toplanması da tamamen anonim olmayabilir.
En azından teorik olarak, SponsorLink'in geliştiricisi, hasat edilen karmaları bir yerde sızan ve kullanıcıları tanımlayan bir e -posta adresleri veritabanıyla karşılaştırabilir.
Michał Rosenbaum, "Hashing'inizi daha fazla müstehcenlik olarak bir güvenlik olarak görüyorum. Karma posta bile sadece onaydan sonra gönderilmelidir."
Başka bir yazılım mühendisi Kevin Walter, "Ciddi endişelerin ortaya çıktığını söyleyebilirim. Kullanıcıların büyük çoğunluğu bu değişikliğin yapıldığını ve bir sorun yaşayacağını bile bilmiyor."
Walter, Cazzulino'yu belirsiz sponsorlin paketi açısından daha şeffaf olmaya çağırdı. "Moq'a güven artık GDPR gibi kırıldı. Bu en azından söylemek gerekir."
Reaksiyonda, birkaç geliştirici ya MOQ [1, 2] 'in alternatifleri lehine kullanımını durdurmak ve SponsorLink çalıştıran projeleri tespit edecek ve engelleyecek araçlar oluşturmakla tehdit etti.
Bazıları bir adım daha ileri gitti ve SponsorLink kullanan projeleri boykot edeceklerini veya hatta "SponsorLink" i Nuget Kayıt Defterine kötü amaçlı yazılım olarak bildireceklerini öne süreceklerdi [1, 2].
Her ne kadar MOQ'da tartışmalı değişiklik v4.20.2'de geri dönmüş olsa da, başkalarının tekrar çağrısında bulunması nedeniyle, gelecekteki MOQ sürümlerinin benzer bir "özelliği" yeniden başlatma olasılığı var.
BleepingComputer, yayınlamadan önce yorum yapmak için SponsorLink'in yaratıcısı Cazzulino ile temasa geçti, ancak geri dönmedi.
GÜNCELLEME, 10 Ağu 04:50 AM ET: MOQ v4.20.2'de geri alınan değişiklik hakkında bilgi eklendi.
Bilgisayar korsanları saldırılarda açık kaynaklı Merlin Sıkıştırma Araç Seti'ni kullanır
Google Haftalık Krom Güvenlik Güncellemeleri ile Hacker'la savaşmak için
Microsoft Visual Studio Code Flaw, uzantıların şifreleri çalmasına izin verir
Microsoft Ağustos 2023 Patch Salı 2 sıfır gün, 87 kusur uyarıyor
Windows 11 KB5029263 Kümülatif Güncelleme 27 düzeltme ile yayınlandı
Kaynak: Bleeping Computer