Опасное ПО: Риски разработки на базе Open Source в России
24 февраля 2022 года стали переломным моментом в технологической индустрии по всему миру. Многие ожидали, что этот шаг приведёт к разделению на так называемые «дружественные» и «недружественные страны», и одним из последствий стало увеличение рисков, связанных с использованием ПО, созданного на базе открытого исходного кода (open source) в России.
Илья Поляков, руководитель отдела анализа кода в Angara Security, объясняет, что использование ПО с открытым исходным кодом связано с рядом рисков для разработчиков и пользователей в России, особенно после февраля 2022 года, когда многие иностранные компании и разработчики ушли с российского рынка. В этом контексте, использование открытого ПО становится особенно рискованным, поскольку оно может содержать скрытые уязвимости и угрозы безопасности, которые могут быть использованы для атак и внедрения вредоносных программ.
Уязвимости в ПО и риски безопасности
1. Уязвимости в библиотеках и фреймворках:
Многие библиотеки и фреймворки, используемые в open source ПО, могут содержать уязвимости, которые злоумышленники могут использовать для атак. Эти уязвимости могут быть исправлены разработчиками, но не всегда они оперативно исправляются, или же могут быть уязвимыми только в определённых условиях.
— Пример: В библиотеке для работы с данными JSON, включённой в популярные мобильные библиотеки, была обнаружена уязвимость, которая позволяет получить несанкционированный доступ к данным, хранящимся на устройстве.
2. Отсутствие обновления и поддержки:
Разработчики ПО на open source могут прекратить поддерживать свои проекты и обновления к ним. В результате, приложения могут стать устаревшими и уязвимыми.
— Пример: В одном из популярных проектов с открытым исходным кодом, библиотека для работы с изображениями, перестала поддерживаться разработчиком, что сделало её уязвимой для атак.
3. Вредоносные расширения и плагины:
Некоторые расширения и плагины, доступные в открытом ПО, могут быть созданы злоумышленниками или содержать вредоносный код. Они могут быть установлены в ПО без ведома пользователя, что может привести к утечке данных или заражению устройства вредоносным ПО.
— Пример: Несколько пользователей Android столкнулись с вредоносными расширениями для известных приложений, которые собирали данные о пользователях и отправляли их на сторонние сервера.
4. Отсутствие проверки кода:
В open source проектах часто отсутствует проверка кода, что позволяет разработчикам вносить вредоносный код без контроля со стороны сообщества или разработчика. Это может привести к уязвимостям и атакам.
— Пример : В популярном проекте с открытым исходным кодом был обнаружен вредоносный код, который позволял злоумышленникам получить доступ к конфиденциальным данным пользователей.
5. Отсутствие отзывов и обновлений:
Злоумышленники могут публиковать вредоносные версии ПО под видом легитимных, которые выглядят идентично, но содержат вредоносный код или ссылки на вредоносные сайты.
— _ Пример:_ В одном из проектов с открытым кодом была обнаружена вредоносная версия популярной библиотеки для работы с графикой, которая содержала вредоносный код и отправляла данные пользователей на сторонний сервер без их ведома.
И хотя это не исчерпывающий список возможных рисков, он иллюстрирует, какие уязвимости могут существовать в ПО с открытым кодом и как они могут быть использованы злоумышленниками для атак на пользователей и данные, хранящиеся на их устройствах.Заключение
Илья Поляков подчёркивает, что риски, связанные с использованием open source ПО в России после 24 февраля, требуют особого внимания со стороны разработчиков и пользователей. Важно быть бдительным, проверять источники ПО и проверять обновления и поддержку перед использованием таких приложений. Кроме того, важно сообщать о любых угрозах и уязвимостях, обнаруженных в ПО, чтобы сообщество разработчиков могло оперативно исправлять и обновлять такие приложения. Только так можно обеспечить безопасность и защиту пользователей от потенциальных угроз, связанных с open source ПО.»