Можно-ли проверить соответствует-ли бинарик исходному коду?

Question

[tihunip]

Привет!
Подскажите пожалуйста, вот есть, к примеру, бинарик клиента телеграмм из аппстора и есть его исходники на гитхабе. Возможно-ли проверить что этот бинарик был скомпилирован именно из этих исходников?
То есть могу-ли я доверять ему? Нельзя на гитхаб выложить одно, а скомпилировать совсем другое.
Как это проверяется?
Спасибо.

UPD
Почитал комменты - получается открытые исходники совсем не гарантия отсутствия закладок. Печально - я проспорил бутылку коньяка :-)
А кто-то вообще занимается таким сопоставлением для популярных приложений хотя бы?
Дело то нужное, как мне кажется.
Я помню конкурс от телеграмм с призовыми в 200тыс. долларов тем, кто расшифрует переписку Дурова. С того момента у меня да и у нескольких знакомых, с которыми обсуждали тему, отложилась мысль - "были бы в программе закладки и дыры, то их бы нашли, ведь 200 тысяч хорошие деньги".
Получается что это не так, и речь шла только о дырах, но не о закладках, а тот конкурс создал у меня ложное чувство безопасности.

Comments

[CityCat4]

Гарантия отсутствия закладок - только собственноручно проанализированные исходники и клиент собранный из них.

Answer 1

[Zzzz9]

Компилировать исходники.

Comments

[tihunip]

то есть я верно понимаю что компиляция одних и тех-же исходников на разнык компьютерах даст одинаковый хеш?

[Labunsky]

tihunip: нет, поэтому предстоит веселое времяпрепровождение с перебором компиляторов, их версий, библиотек и параметров

[amambaru]

tihunip: на самом деле после компиляции вам проще будет старый бинарник удалисть и пользоваться новым.

[Zzzz9]

Зачем что-то сравнивать, у вас будет гарантированное приложение из исходников.

[Александр Пожарский]

Labunsky: с одной версией компилятора, одинаковыми оптимизациями и одной целевой архитектурой?

[Labunsky]

Александр Пожарский: все равно, есть различные march=native и подобного

Answer 2

[Saboteur]

В зависимости от версии компилятора, от флагов оптимизации и используемых библиотек, конечный бинарник может получаться разным, поэтому вы можете сравнить только воспроизведя оригинальную среду, в которой создавался бинарник.
Частным случаем проверки можно считать цифровую подпись, как доказательство того, что текущий бинарник компилировался именно автором (компанией), а не кем-то, кто взял исходники и скомпилировал у себя, добавив что-то лишнее.

А если взять например java, там в .jar файл еще куча timestamp добавляется при сборке, поэтому КАЖДЫЙ раз будет разный хеш у бинарника.

Answer 3

[Griboks]

Нет, нельзя. Компиляция, строго говоря, необратимый процесс. Однако для этого придумали хеши (md5). Если шифрование является защитой от чтения, то хеши - защитой от подмены. Если хеши совпадают, то должно быть все ок, но это не точно. Сейчас все тупо доверяют офф. стору, ведь "в нем не может быть вредоносных приложений".

Comments

[amambaru]

сейчас все тупые?
а раньше значит не доверяли официальному месту и были умными поэтому?

[Griboks]

amambaru: я не говорил, что все тупые) а раньше не было такой опасности, когда виджет погоды каждый час отсылает твои данные на какой-то левый сайт. А люди как качали, так и качают. Вредоносное по поменяли технологии, а наша защита - пока нет.

P.s. я не паранойик, но не хочу нарушения моих конституционных прав

[amambaru]

Griboks: при чем здесь конституционные права, если ты сам себе зловреда ставишь?
ситуации, когда зловреды проникают вне твоих собственных же действий - 0,000001%

[Griboks]

amambaru: ага, есть такой анекдот...
Хочешь жить у нас в стране, подпиши отказ от прав. Формально ведь я сам ставлю себе ВК и разрешают привязку к телефону.

[amambaru]

Griboks: не ставь.
при чем здесь наша страна?
ВК - частная фирма.

[Griboks]

amambaru: притом, что у нас законы такие. Хоть я и ни слова не говорил про Россию.

[amambaru]

Griboks:
социальные сети давным давно собирают сотовые телефоны. регистрируют по телефону уже лет пять.
и делают это ДО принятия законов. из своих маркетинговых соображений.
закон об обязательной идентификации в соц. сетях о котором вы намекаете - собираются начать обсуждать осенью этого года.

[Griboks]

amambaru: и вам приятно осознавать это? Вам нравится добровольно жертвовать свободой? Конечно, синдром большого брата меня не сильно тревожит. Но если уж размышлять на эту тему... Если перед гражданином встаёт выбор: подвергаться слежке личности, не общаться или же вообще лешиться гражданства; это ли не иллюзия выбора; это ли нельзя назвать лишением свободы, нарушением конституционных прав?

[Griboks]

amambaru: безусловно, слежка была всегда. Но именно сейчас её ачали использовать в "друном" тоне в массах.

[amambaru]

Griboks:

вы ляпнули хрень дважды:

1. сейчас государство не при чем. до осени - точно.
2. вы сами добровольно регистрируйтесь.

[Griboks]

amambaru: проехали... Я добровольно даю согласие на хранение, обработку и пересылку третьим лицам моей личной информации при регистрации/использовании любых сайтов/сервисов/приложений и услуг в целом))

[amambaru]

Griboks: в соглашении, которое вы принимаете на сайте - все это написано. если вы не читаете - это другой вопрос

Answer 4

[Anton]

Компилировать исходники и проверять хэш.

Comments

[amambaru]

зачем проверять хэш если будут новые исходники
;)

это 2 независимые операции.

[amambaru]

Saboteur: ответ тривиален. и уже ответили. но вы вот не сдержались и написали простыню, которая уже не нужна.

Answer 5

[CityCat4]

Нельзя на гитхаб выложить одно, а скомпилировать совсем другое.

Можно. OSS - с точки зрения ИБ хорош тем, что можно исходники проанализировать, а потом именно из этих, проанализированных, собрать программу. А так - все доверяют официальным репам, считая, что там подмены быть не может, что конечно же неправильно, но общепринято...