研究人员科林·穆利纳(Collin Mulliner)发现自己的代码被用作开发Android监控工具的跳板后,对黑客团队进行了猛烈抨击,这些工具被卖给了政府和执法机构。
总部位于米兰的黑客团队本月遭受了一次网络攻击,导致400GB的企业数据被盗。这家曾经行事隐秘的公司的内部结构已经被发布到互联网上,导致客户名单、漏洞利用、监控工具代码和内部通信现在可以在公共领域查看和检查。
虽然软件供应商正在迅速修补新发现的黑客团队零日漏洞,但披露的信息也对开源社区造成了冲击。
系统安全研究员科林·穆利纳(Colin Mulliner)周二在一篇博客文章中表示,他发现自己的开源软件被黑客团队未经通知或许可使用,此前有人在Twitter上指出了这一点,他收到了大量电子邮件和个人通知。
其中一个问题激怒了研究人员,因为它表明了Mulliner可能一直在为这家监控公司工作的错误信念:
“我在分析最近从意大利泄露的黑客团队,看到你们提供了用于在android上劫持语音通话的核心android音频设备。你把它升级到像棒棒糖这样的新设备了吗?”
Mulliner强调他并没有为黑客团队的使用编写Android语音通话拦截程序,相反,黑客团队“使用我的ADBI框架和工具来构建他们的软件。”
这个漏洞就是core-android-audiocapture——现在托管在GitHub上——它甚至保存了研究人员的原始ADBI发布文件名称和版权信息,包括他的姓名和电子邮件地址。
参见:黑客团队不会在受到网络攻击后“畏缩并离开”
此外,黑客团队据称使用了Mulliner的SMS fuzzer注入器,该代码是在2009年开发的,现在已经进入了这家意大利公司的工具。黑客团队讨论Mulliner工具的电子邮件可以在维基解密上看到。
穆力纳说:
“看到我的开源工具被黑客团队用来制造监视活动分子的产品,我感到非常愤怒和难过。更糟糕的是,由于他们管理源存储库的懒惰方式,消息不灵通的人可能会认为我为他们开发了部分工具。澄清一下:我没有为黑客团队编写任何工具。”
由于开源代码被用于有争议的目的,这位研究人员说,在未来,他所有的软件都将获得许可,不包括“这种目的”。这是一个惨痛的教训,但是这个案例可能会促使其他安全专家在将他们的工作提交给开源社区时重新考虑过于开放的做法。
“显然黑客团队也使用了其他开源软件,比如Cuckoo Sandbox,”Mulliner说。“我希望每个人都能考虑一下未来的许可证来防止这种使用。我不是律师,但我想知道,如果一个人的软件许可不包括黑客团队的使用情况,他会采取什么法律行动。”
本周,Rook Security发布了一款免费的扫描器,可以检测基于团队的入侵感染和漏洞。