Последњих дана, на видело је изашао један забрињавајући случај везан за Снап СтореЗванични репозиторијум за Snap апликације који се користи у многим GNU/Linux дистрибуцијама. Проблем није повезан са техничким недостацима у самом систему паковања, већ са злоупотребом модела поверења на којем је продавница заснована.
Оно што се десило јесте да Злонамерне треће стране су успеле да објаве верзије које садрже злонамерни код Циљали су претходно легитимне апликације. Да би то урадили, нису креирали нове налоге или сумњиве пакете од нуле, већ су преузели контролу над легитимним програмерским налозима који су неко време били неактивни. Због тога су погођене апликације изгледале поуздано, јер су имале историју, претходна преузимања и нису покретале тренутна упозорења.
Ово није први пут да је Снеп продавница угрожена
Кључ напада лежи у доменима повезаним са тим програмерским налозима. У многим случајевима, оригинални пројекти више нису били одржавани, а веб домени повезани са њима су истекли. Нападачи су поново регистровали ове домене и, контролишући повезане имејл адресе, успели су да поврате приступ налозима за објављивање на Snap Store-у. Када су ушли унутра, све што су требали да ураде јесте да отпреме модификовано ажурирање софтвера.
Откривени злонамерни код се првенствено фокусирао на апликације повезане са криптовалутама.Ове измењене верзије су имитирале понашање легитимних новчаника и тражиле од корисника осетљиве податке као што је фраза за опоравак. Ове информације су слате серверима које контролишу нападачи, што им омогућава да краду средства без искоришћавања рањивости оперативног система.
Ова врста напада је посебно опасна јер не зависи од обмањивања корисника лажним именима или очигледно сумњивим апликацијама. Ослања се на акумулирано поверење из прошлих пројеката и у недостатку строгих механизама за проверу да ли власник програмерског налога остаје онај за кога се представља током времена.
Погођене апликације су већ уклоњене
Након што је проблем откривен, Погођене апликације су уклоњенеУпркос томе, инцидент је поново покренуо дебату о безбедности централизованих продавница софтвера и мери у којој су аутоматизовани системи за преглед довољни. Такође истиче важност заштите налога програмера, посебно оних повезаних са напуштеним или више неактивно одржаваним пројектима.
За кориснике, главна лекција је да ниједна продавница апликација није непогрешива. Чак и у окружењима попут Линукса, која се традиционално сматрају безбеднијим, злоупотребе се могу догодити када се модел дистрибуције ослања на поверење и аутоматизацију. Изузетан опрез са осетљивим апликацијама, посебно онима које су повезане са криптовалутама или акредитивима, остаје кључна мера.