Nitong mga nakaraang araw, isang nakababahalang kaso ang nabunyag kaugnay ng Snap StoreAng opisyal na imbakan para sa mga aplikasyon ng Snap na ginagamit sa maraming distribusyon ng GNU/Linux. Ang problema ay hindi nauugnay sa mga teknikal na depekto sa sistema ng packaging mismo, kundi sa isang pang-aabuso sa modelo ng tiwala na pinagbabatayan ng tindahan.
Ang nangyari ay iyon Nagawa ng mga malisyosong third party na mag-publish ng mga bersyong naglalaman ng malisyosong code Tinarget nila ang mga dating lehitimong application. Para magawa ito, hindi sila lumikha ng mga bagong account o kahina-hinalang package mula sa simula, sa halip ay kinontrol nila ang mga lehitimong developer account na matagal nang hindi aktibo. Dahil dito, nagmukhang mapagkakatiwalaan ang mga apektadong application, dahil mayroon silang history, mga nakaraang download, at hindi agad nag-trigger ng mga alerto.
Hindi ito ang unang pagkakataon na nakompromiso ang Snap Store
Ang susi sa pag-atake ay nasa mga domain na nauugnay sa mga developer account na iyon. Sa maraming pagkakataon, ang mga orihinal na proyekto ay hindi na pinapanatili, at ang mga web domain na naka-link sa mga ito ay nag-expire na. Muling inirehistro ng mga attacker ang mga domain na ito at, sa pamamagitan ng pagkontrol sa mga nauugnay na email address, nagawa nilang mabawi ang access sa mga publishing account sa Snap Store. Kapag nakapasok na, ang kailangan na lang nilang gawin ay mag-upload ng binagong software update.
Ang natukoy na malisyosong code ay pangunahing nakatuon sa mga aplikasyon na may kaugnayan sa cryptocurrency.Ginaya ng mga binagong bersyong ito ang kilos ng mga lehitimong wallet at hinikayat ang gumagamit na magbigay ng sensitibong data tulad ng pariralang "recovery". Ang impormasyong ito ay ipinadala sa mga server na kontrolado ng mga umaatake, na nagpapahintulot sa kanila na magnakaw ng mga pondo nang hindi sinasamantala ang mga kahinaan ng operating system.
Ang ganitong uri ng pag-atake ay lalong mapanganib dahil hindi ito nakasalalay sa panlilinlang sa gumagamit gamit ang mga pekeng pangalan o malinaw na kahina-hinalang aplikasyon. Umaasa ito sa naipon na tiwala mula sa mga nakaraang proyekto at sa kakulangan ng mahigpit na mekanismo upang beripikahin na ang may-ari ng isang developer account ay nananatiling kung sino ang inaangkin nila sa paglipas ng panahon.
Naalis na ang mga apektadong application
Matapos matukoy ang problema, Inalis ang mga apektadong applicationGayunpaman, muling binuhay ng insidente ang debate tungkol sa seguridad ng mga sentralisadong software store at kung gaano kasapat ang mga automated review system. Itinatampok din nito ang kahalagahan ng pagprotekta sa mga developer account, lalo na ang mga nauugnay sa mga inabandona o hindi na aktibong pinapanatiling proyekto.
Para sa mga gumagamit, ang pangunahing aral ay walang app store ang hindi nagkakamali. Kahit sa mga kapaligirang tulad ng Linux, na tradisyonal na itinuturing na mas ligtas, maaaring mangyari ang mga pang-aabuso kapag ang modelo ng pamamahagi ay umaasa sa tiwala at automation. Ang labis na pag-iingat sa mga sensitibong application, lalo na ang mga nauugnay sa mga cryptocurrency o kredensyal, ay nananatiling isang mahalagang hakbang.