Ditët e fundit, është zbuluar një rast shqetësues që lidhet me Snap StoreDepozita zyrtare për aplikacionet Snap që përdoret në shumë shpërndarje GNU/Linux. Problemi nuk lidhet me të metat teknike në vetë sistemin e paketimit, por më tepër me një abuzim të modelit të besimit mbi të cilin bazohet dyqani.
Ajo që ndodhi është se Palët e treta keqdashëse kanë arritur të publikojnë versione që përmbajnë kod keqdashës Ata vunë në shënjestër aplikacione që më parë ishin legjitime. Për ta bërë këtë, ata nuk krijuan llogari të reja ose paketa të dyshimta nga e para, por morën kontrollin e llogarive legjitime të zhvilluesve që kishin qenë joaktive për një farë kohe. Kjo i bëri aplikacionet e prekura të dukeshin të besueshme, pasi ato kishin një histori, shkarkime të mëparshme dhe nuk shkaktonin alarme të menjëhershme.
Kjo nuk është hera e parë që Snap Store është kompromentuar.
Çelësi i sulmit qëndron në domenet e lidhura me ato llogari zhvilluesish. Në shumë raste, projektet origjinale nuk mirëmbaheshin më dhe domenet e internetit të lidhura me to kishin skaduar. Sulmuesit i riregjistruan këto domene dhe, duke kontrolluar adresat e email-it të lidhura, ishin në gjendje të rifitonin aksesin në llogaritë e publikimit në Snap Store. Pasi hynin brenda, e tëra çfarë duhej të bënin ishte të ngarkonin një përditësim të modifikuar të softuerit.
Kodi keqdashës i zbuluar u përqendrua kryesisht në aplikacionet që lidheshin me kriptovalutat.Këto versione të ndryshuara imitonin sjelljen e portofoleve legjitime dhe i kërkonin përdoruesit të dhëna të ndjeshme, siç është fraza e rikuperimit. Ky informacion u dërgua në serverat e kontrolluar nga sulmuesit, duke u lejuar atyre të vidhnin fonde pa shfrytëzuar dobësitë e sistemit operativ.
Ky lloj sulmi është veçanërisht i rrezikshëm sepse nuk varet nga mashtrimi i përdoruesit me emra të rremë ose aplikacione qartësisht të dyshimta. Mbështetet në besimin e akumuluar nga projektet e kaluara dhe në mungesën e mekanizmave të rreptë për të verifikuar që pronari i një llogarie zhvilluesi të mbetet ai që pretendon të jetë me kalimin e kohës.
Aplikacionet e prekura janë hequr tashmë
Pasi u zbulua problemi, Aplikacionet e prekura u hoqënMegjithatë, incidenti ka rindezur debatin rreth sigurisë së dyqaneve të centralizuara të softuerëve dhe masës në të cilën sistemet e automatizuara të rishikimit janë të mjaftueshme. Ai gjithashtu thekson rëndësinë e mbrojtjes së llogarive të zhvilluesve, veçanërisht atyre që lidhen me projekte të braktisura ose që nuk mirëmbahen më në mënyrë aktive.
Për përdoruesit, mësimi kryesor është se asnjë dyqan aplikacionesh nuk është i pagabueshëm. Edhe në mjedise si Linux, që tradicionalisht perceptohen si më të sigurta, abuzimet mund të ndodhin kur modeli i shpërndarjes mbështetet në besim dhe automatizim. Ushtrimi i kujdesit ekstrem me aplikacionet e ndjeshme, veçanërisht ato që lidhen me kriptovalutat ose kredencialet, mbetet një masë thelbësore.