IT業界資訊媒體

【Demo180】官網下載都有木馬 亂用編譯器自毁商譽

ASUS 上星期被發現官網內提供嘅系統更新檔被人通過供應鏈攻擊(supply chain attack)植入惡意程式,令人發現就算係官網下載軟件都未必安全。雖然仲未搵到原因,但供應鏈攻擊嘅成因主要有以下幾種:一是廠方網絡被黑客入侵,二是開發者不小心導入有問題的程式庫或程式碼,三是廠方對開發工具嘅監管不足等等,例如軟件開發者用咗來源不明嘅 compiler 編譯器 。本地著名研究團隊VXRL成員 Boris So,就住後者情況親身示範,點樣喺使用黑客製造出嚟 編譯器 時,神不知鬼不覺咁混入木馬程式碼。如果廠方發現唔到呢個問題,直接將軟件放喺官網下載,咁就會好多人中招㗎喇。

編譯器 自動加料

對於採用來源不明嘅開發工具,Boris 指出之前國內就曾有手機 app 開發商喺開發 Apple iOS  app 時,採用咗非 Apple 官方推出嘅 Xcode 開發工具 ,將原始程式碼轉換成 object code,導致推出嘅 app 都被植入惡意程式碼,用家全部中招。「其實 Xcode 本身係無需額外費用嘅開發工具,所以唔明白點解唔喺官網直接下載,可能只係開發人員貪方便、警覺性不足。」相反如果係盜版軟件,開發者可能就會為咗慳錢而下載使用。當開發商用咗呢啲被黑客加料嘅開發工具嚟推出自己嘅 app,放入自家商店俾用家下載時,手機用家見到 app 係由開發者自己提供,自然會覺得好安全而放心下載嚟使用,結果當然係中咗木馬病毒都唔知,而開發者亦好無辜咁成為幫兇,嚴重影響商譽。

由 Boris 提供嘅示範短片可見,當使用咗有問題嘅 編譯器 編譯 Java 程式,木馬程式就會喺 編譯過程中自動置入,然後當客戶執行呢個Java 程式,木馬程式就會自動執行。所以如果手機 app 開發者貪方便用咗來源不明嘅 編譯器,真係得不償失㗎!