El primo del creador de Wordle descubre, mediante ingeniería inversa, que su código fue robado y usado en aplicaciones comerciales

El primo del creador de Wordle descubre, mediante ingeniería inversa, que su código fue robado y usado en aplicaciones comerciales
2 comentarios Facebook Twitter Flipboard E-mail

Ya te contamos hace tiempo la historia de Josh Wardle, el programador que creó el popular juego de palabras Wordle para su novia y lo lanzó como web porque se le da fatal desarrollar apps para Android. Pero resulta que Josh no es el único programador de la familia… ni el único que se ha convertido en noticia.

Resulta que su primo Patrick Wardle, ex-empleado de la NSA y de la NASA, es también un especialista en malware para macOS. Y su código es tan bueno que, según denuncia, tres compañías de desarrollo de software lo copiaron sin permiso para su uso comercial, vulnerando la licencia de software libre bajo la cual lo escribió.

Según ha expuesto en una charla durante la conferencia de seguridad Black Hat, estas empresas han hecho uso de su código sin atribución ni remuneración. Casos como éste suelen ser difíciles de probar, porque no es descartable que los paralelismos se deban únicamente a implementaciones similares atribuibles al mero azar.

Este es un buen ejemplo de la desprotección a la que se ven sometidos muchos proyectos open source

Afortunadamente, Wardle, además de desarrollador, es también un experto en ingeniería inversa, por lo que puede demostrar que es su código, y no otro muy similar, el que es usado por las compañías que denuncia en su charla.

¿Qué robaron las tres compañías?

El código en cuestión corresponde a OverSight, un software lanzado por Wardle en 2016 con el fin de realizar una función que no había una forma sencilla de realizar en un entorno Mac: monitorizar y advertir al usuario cuando alguna aplicación pretendía acceder disimuladamente al hardware de grabación del equipo (micrófono y webcam).

Según nuestro protagonista, es precisamente la complejidad de esta tarea lo que le obligó a utilizar una combinación inusual de técnicas de análisis que resultó ser bastante única. Y, por tanto, la lógica detrás de la misma resultaba bastante reconocible.

Oversight resultó muy útil no sólo para detectar la presencia de malware en macOS, sino también para dar a conocer que aplicaciones legítimas como Shazam permanecían siempre escuchando en segundo plano

De modo que, cuando analizó las aplicaciones de las que sospechaba y comprobó que no sólo la lógica era la misma que la de OverSight, sino que también reproducían los errores del código original de Ward.

Éste no menciona en su charla a ninguna de las tres compañías implicadas, por dos razones:

  1. Sospecha que el robo de código se debió a la iniciativa de programadores individuales, no a que fuera algo decidido por la empresa.

  2. Todas las compañías reaccionaron positivamente cuando se les planteó el asunto, y lo compensaron bien pagándole a él directamente, bien realizando donaciones a la Fundación Objective-See (una entidad sin ánimo de lucro que crea herramientas de seguridad libres para macOS y que fundó el propio Wardle).

Vía | The Verge

Comentarios cerrados
Inicio