Компания Canonical объявила о временной приостановке использования в Snap Store автоматической системы проверки публикуемых пакетов из-за появления в репозитории пакетов с вредоносным кодом для кражи криптовалюты у пользователей. При этом непонятно ограничивается ли инцидент публикацией вредоносных пакетов сторонними авторами или имеют место какие-то проблемы с безопасностью непосредственно репозитория, так как ситуация в официальном анонсе характеризуется как "потенциальный инцидент с безопасностью".

Подробности об инциденте обещают раскрыть после окончания разбирательства. На время разбирательства работа сервиса переведена в режим ручного рецензирования, при котором все регистрации новых snap-пакетов будет проходить ручную проверку перед публикацией. Изменение не затронет загрузку и публикацию обновлений для уже существующих snap-пакетов.

Проблемы выявлены в пакетах ledgerlive, ledger1, trezor-wallet и electrum-wallet2, опубликованных злоумышленниками под видом официальных пакетов от разработчиков отмеченных криптокошельков, но на деле не имеющих к ним никакого отношения. В настоящее время проблемные snap-пакеты уже удалены из репозитория и больше не доступны для поиска и установки при помощи утилиты snap. Инциденты с загрузкой вредоносных пакетов в Snap Store случались и ранее, например, в 2018 году в Snap Store были выявлены пакеты, включающие скрытый код для майнинга криптовалюты.

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter <<<

  • JamesHolden
    link
    fedilink
    arrow-up
    0
    ·
    3 years ago

    Так вот там у кучи приложений все granted из коробки.

    • odalist
      link
      fedilink
      arrow-up
      0
      ·
      3 years ago

      все granted из коробки.

      Ты проверял? Интересно, какие приложения?

      • JamesHolden
        link
        fedilink
        arrow-up
        0
        ·
        3 years ago

        Kate например, первое что попалось. Дело не в том кто конкретно, а в том что в манифесте у любого вредоноса может стоять filesystem=host и привет. Только если руками все проверяешь, спасешься.

        • odalist
          link
          fedilink
          arrow-up
          0
          ·
          3 years ago

          Kate например, первое что попалось.

          Спасибо. Буду проверять.