Компания Canonical объявила о временной приостановке использования в Snap Store автоматической системы проверки публикуемых пакетов из-за появления в репозитории пакетов с вредоносным кодом для кражи криптовалюты у пользователей. При этом непонятно ограничивается ли инцидент публикацией вредоносных пакетов сторонними авторами или имеют место какие-то проблемы с безопасностью непосредственно репозитория, так как ситуация в официальном анонсе характеризуется как "потенциальный инцидент с безопасностью".

Подробности об инциденте обещают раскрыть после окончания разбирательства. На время разбирательства работа сервиса переведена в режим ручного рецензирования, при котором все регистрации новых snap-пакетов будет проходить ручную проверку перед публикацией. Изменение не затронет загрузку и публикацию обновлений для уже существующих snap-пакетов.

Проблемы выявлены в пакетах ledgerlive, ledger1, trezor-wallet и electrum-wallet2, опубликованных злоумышленниками под видом официальных пакетов от разработчиков отмеченных криптокошельков, но на деле не имеющих к ним никакого отношения. В настоящее время проблемные snap-пакеты уже удалены из репозитория и больше не доступны для поиска и установки при помощи утилиты snap. Инциденты с загрузкой вредоносных пакетов в Snap Store случались и ранее, например, в 2018 году в Snap Store были выявлены пакеты, включающие скрытый код для майнинга криптовалюты.

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter <<<

  • JamesHolden
    link
    fedilink
    arrow-up
    0
    ·
    3 years ago

    Никогда такого не было и вот опять

      • JamesHolden
        link
        fedilink
        arrow-up
        0
        ·
        3 years ago

        Учитывая, что вся проприетарщина во flatpak зачастую перепаковывается из snap тупо, тоже надо поостеречься.

        • sorrow
          link
          fedilink
          arrow-up
          0
          ·
          3 years ago

          В флатпаке все приложения стартуют в песочнице, так что не страшно.

          • odalist
            link
            fedilink
            arrow-up
            0
            ·
            3 years ago

            стартуют в песочнице

            Именно так, но там свои нюансы.

          • JamesHolden
            link
            fedilink
            arrow-up
            0
            ·
            3 years ago

            Да неужели, в какой песочнице блин? Там хомяк всем доступен по умолчанию как правило. Ты перед первым запуском всегда разрешения каждого приложения руками тюнишь?

            • odalist
              link
              fedilink
              arrow-up
              0
              ·
              3 years ago

              Да неужели, в какой песочнице блин?

              Цитата из ихних доков

              With Flatpak, each application is built and run in an isolated environment, which is called the ‘sandbox’. Each sandbox contains an application and its runtime. By default, the application can only access the contents of its sandbox. Access to user files, network, graphics sockets, subsystems on the bus and devices have to be explicitly granted. Access to other things, such as other processes, is deliberately not possible.

              • JamesHolden
                link
                fedilink
                arrow-up
                0
                ·
                3 years ago

                Так вот там у кучи приложений все granted из коробки.

                • odalist
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  3 years ago

                  все granted из коробки.

                  Ты проверял? Интересно, какие приложения?

                  • JamesHolden
                    link
                    fedilink
                    arrow-up
                    0
                    ·
                    3 years ago

                    Kate например, первое что попалось. Дело не в том кто конкретно, а в том что в манифесте у любого вредоноса может стоять filesystem=host и привет. Только если руками все проверяешь, спасешься.

            • sorrow
              link
              fedilink
              arrow-up
              0
              ·
              3 years ago

              по умолчанию

              Ну дефолтожоры должны страдать. Я прежде чем запускать новое приложение из флатпака, первым делом обрезаю ему разрешения с помощью flatseal.

              • JamesHolden
                link
                fedilink
                arrow-up
                0
                ·
                3 years ago

                Так и в снапе ты можешь точно так же поотрубать все.

                • sorrow
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  3 years ago

                  Да, но снап не умеет в сторонние репы.

  • odalist
    link
    fedilink
    arrow-up
    0
    ·
    3 years ago

    появления в репозитории пакетов с вредоносным кодом для кражи криптовалюты у пользователей

    Нужно было давно этого ждать. Я про вредоносность и ущербность этих snap давно кричу.