最近,发现 Ubuntu Snaps 商店中的几个应用程序包含加密货币挖掘软件。 Canonical 迅速删除了有问题的应用程序,但仍有几个问题没有得到解答。
在 Snap Store 上发现 Crypto Miner
5 月 11 日,一位名叫 焦油 开了一个新的问题 snapcraft.io 存储库. 在该问题中,他指出由 Nicolas Tomb 创建的名为 2048buntu 的快照包含一个加密货币矿工。 他问他出于安全原因如何“投诉该应用程序”。 tarwirdur 后来发帖说,由 Nicolas Tomb 创建的所有其他快照也包含加密货币矿工。
似乎这些快照使用 systemd 在启动时自动启动代码并在后台运行它,而用户一点也不聪明。
{对于不熟悉该术语的人来说,加密货币矿工是一种使用计算机主处理器或图形处理器来“挖掘”数字货币的软件。 “挖掘”通常涉及求解数学方程。 在这种情况下,如果您正在运行 2048buntu 游戏,该游戏会使用额外的处理能力进行加密货币挖掘。}
Snapcraft 团队的回应是迅速删除了犯罪者创建的所有应用程序。 他们也开始了调查。
面具背后的人说话
5 月 13 日,Disqus 用户 Nicolas Tomb 发表了评论 关于 OMGUbuntu 对新闻的报道。 在此评论中,他表示他添加了加密货币矿工以通过快照获利。 他为自己的行为道歉,并承诺将所有已开采的资金汇给 Ubuntu 基金会。
我们无法确定此评论是否由同一个 Nicolas Tomb 发布,因为 Disqus 帐户刚刚创建并且只有一条评论与之相关联。 现在,我们假设它是。
Canonical 发表声明
5 月 15 日,Canonical 发表了有关情况的声明。 授权 “Snap Store 中的信任和安全”,这篇文章从重申情况开始。 他们补充说,快照已经 删除加密货币挖掘代码后重新发布.
Canonical 然后试图检查尼古拉斯墓的动机。 他们注意到他告诉他们他这样做是为了通过应用程序获利(如上所述),并在遇到问题时停止这样做。 他们还指出,“挖掘加密货币本身并不是非法或不道德的”。 然而,他们对他没有在快照描述中披露加密货币矿工这一事实感到不满。
Canonical 从那里转移到审查软件的主题。 根据该帖子,Snap Store 使用类似于 iOS、Android 和 Windows 的质量控制系统:“包裹在被接受之前必须通过的自动检查点,以及在标记特定问题时人工审查”。
然而,Canonical 表示“大型存储库不可能只在每个单独的文件都经过详细审查后才接受软件”。 因此,他们需要信任来源,而不是内容。 毕竟,这就是当前的 Ubuntu 存储库系统所基于的。
Canonical 通过谈论快照的未来来跟进这一点。 他们承认当前的系统并不完美。 他们一直在努力改进它。 他们“正在开发非常有趣的安全功能,这将提高系统的安全性以及人们在服务器和台式机中处理软件部署的体验”。
他们正在开发的功能之一是能够查看发布者是否经过验证。 其他改进包括:“上传所有 AppArmor 内核补丁”和其他内部修复。
关于“Snap 商店恶意软件”的想法
根据我所阅读的所有内容,我有一些自己的想法和问题。
这运行了多长时间?
首先,这些挖矿快照在 Snap Store 上可用多久了? 由于它们都已被删除,我们没有该数据。 我能够从 Google 缓存中抓取 2048buntu 页面的图像,但它没有显示任何内容。 取决于它运行了多长时间,它安装了多少系统,以及正在开采什么加密货币,我们可以谈论一点点钱或一堆钱。 另一个问题是:Canonical 将来是否能够抓住这一点?
它真的是恶意软件吗?
许多新闻网站将其报告为恶意软件感染。 我想我什至可能已经看到这个事件被称为 Linux 的第一个恶意软件。 我不确定这个术语是否准确。 Dictionary.com 定义 恶意软件 如:“旨在损坏计算机、移动设备、计算机系统或计算机网络,或对其操作进行部分控制的软件”。
有问题的快照没有损坏或控制所涉及的计算机。 它也没有感染其他计算机。 它不可能,因为所有快照都是沙盒的。 最多,他们浸出处理器能力,仅此而已。 所以,我不会称之为恶意软件。
没有什么像一个漏洞
Nicolas Tomb 使用的一种防御措施是,当他上传快照时,Snap Store 没有任何禁止加密货币挖掘的规则。 {我敢打赌,他们现在正在纠正这个问题。} 他们没有这条规则的原因很简单,因为以前没有人这样做过。 如果古墓试图做正确的事情,他应该问这种行为是否允许。 他似乎没有指出这样一个事实,即他知道他们可能会拒绝。 至少,他们会告诉他把它放在描述中。
看起来很欣喜
正如我之前所说,我从 Google 缓存中获得了 2048buntu 页面的屏幕截图。 仅仅看它就会引发几个危险信号。 首先,几乎没有真实的描述。 这就是它所说的“像 2048 一样的游戏。这款游戏是克隆流行游戏 – 带有 ubuntu 颜色的 2048。” 哇。 {那会招来傻逼。}当我读到这么空洞的东西时,我会紧张。
另一个需要注意的是它的大小。 2048buntu snap 的 1.0 版重近 140 MB。 为什么这么简单的游戏需要这么大的空间? 有一些用 Javascript 编写的浏览器版本可能使用不到四分之一。 Snap Store 上还有其他 2048 款游戏的快照,但它们都没有文件大小的一半。
然后,你有许可证。 这是使用 Ubuntu 颜色的流行游戏的克隆。 它怎么能被认为是专有的? 我敢肯定,观众中的合法开发者会因为内容而使用 FOSS(自由和开源软件)许可证上传它。
仅这些因素就应该使这个快照特别突出并要求进行审查。
尼古拉斯墓是谁?
在第一次读到这个之后,我决定看看我能找到什么关于开始这个烂摊子的人。 当我搜索 Nicolas Tomb 时,我什么也没找到,zip、nada、zilch。 我发现的只是一堆关于加密货币挖掘快照的新闻文章和关于去圣尼古拉斯墓旅行的信息。 Twitter 或 Github 上也没有 Nicolas Tomb 的迹象。 这似乎是为上传这些快照而创建的名称。
这也导致了 Canonical 博客文章中关于验证发布者的观点。 我上次查看时,应用程序的维护者没有发布相当多的快照。 这让我很紧张。 如果 Firefox 是由 Mozilla 而不是 Leonard Borsch 发布的,我会更愿意相信它。 如果应用程序维护人员的工作量太大而无法同时处理 snap,那么维护人员应该有一种方法可以将他们的批准印章放在他们程序的 snap 上。 Fredrick Ham 发布的 Firefox snap 之类的东西,得到了 Mozilla 基金会的批准。 只是为了让用户对他们正在下载的内容更有信心。
Snap Store 绝对有改进的空间
在我看来,Snap Store 团队应该实施的首批功能之一是报告可疑快照的方法。 tarwirdur 必须找到该网站的 Github 页面。 普通用户不会想到这一点。 如果 Snap Store 不能审查每一行代码,那么让用户报告问题是下一个最好的事情。 即使是评级系统也不会是一个糟糕的补充。 我敢肯定会有几个人会因为使用太多系统资源而给 2048buntu 打低分。
结论
从我所看到的所有情况来看,我认为有人创建了许多简单的应用程序,在每个应用程序中嵌入了一个加密货币矿工,然后将它们上传到 Snap Store,目的是赚大钱。 一旦他们被抓住,他们声称这只是为了通过快照获利。 如果这是真的,他们会在快照描述中提到它。 隐藏的加密矿工什么都不是 新的. 它们通常是一种计算能力盗窃的方法。
我希望 Canonical 已经具备解决这个问题的功能,我希望它们能尽快出现。
您如何看待 Snap Store 的“恶意软件事件”? 你会做些什么来改进它? 请在下面的评论中告诉我们。
如果您觉得这篇文章很有趣,请花一点时间在社交媒体上分享。
