Магазин приложений Snap Store, через который распространяются Snap-пакеты для Ubuntu, несколько месяцев атакуют фейковые криптовалютные кошельки, которые пытаются украсть активы пользователей. В результате инженеры Canonical заявили, что будут вручную проверять приложения, загружаемые в магазин.
Внимание к проблеме привлек Алан Поуп (Alan Pope), бывший сотрудник Canonical и Ubuntu, который до сих пор активен в экосистеме. Еще в феврале 2024 года Поуп рассказал в своем блоге, как один биткоин-инвестор потерял девять биткоинов (около 490 000 долларов по курсу на тот момент), воспользовавшись приложением Exodus Wallet из Snap Store.
Exodus — известный криптовалютный кошелек, однако упомянутый пострадавший воспользовался фейком, который перевел все средства на неизвестный адрес, сразу же после ввода фразы для восстановления, состоящей из 12 слов (чего разработчики Exodus настоятельно рекомендуют никогда не делать).
Поуп писал, что криптовалюта по своей природе сопряжена с рисками. Однако Ubuntu App Center, в котором представлен магазин Snap Store для пользователей десктопов, отметил фальшивое приложение Exodus как «безопасное» (Safe), а веб-версия Snap Store описывает мошеннические приложения как «безопасные для запуска».
В данном случае имеется в виду, что приложения представляют собой автоматически обновляемый контейнер, защищенный песочницей, но зеленая галочка с надписью Safe может быть воспринята неправильно, особенно новичками в Ubuntu, Snaps и Linux в целом.
Также Поуп подчеркнул, что после загрузки в Snap Store приложение «сразу же доступно для поиска, и любой человек, практически в любом месте, может скачать, установить и запустить его». А люди в этом процессе не участвуют.
Позже эта история продолжилась новыми фальшивками (на иллюстрациях ниже) и новыми статьями Поупа.
В ходе возникшего после публикации Поупа обсуждения Марк Шаттлворт, основатель Ubuntu и глава Canonical, ответил на вопрос о том, следует ли полностью запретить криптовалютные приложения.
В целом Шаттлворт согласился тем с тем, что «криптовалюта — это по большей части выгребная яма с самыми дурными намерениями», однако он считает, что разработчики Ubuntu должны «бросить вызов самим себе» и внедрить дополнительные меры безопасности, тем самым сделав приложения более безопасными для людей, уязвимых для социальной инженерии. «Это очень сложная задача, но я считаю, что мы можем и должны ею заниматься», — написал Шаттлворт.
Ситуацию с фальшивыми кошельками, о которой рассказал Поуп, глава Canonical назвал «тихой войной», которую разработчики ведут со злоумышленниками уже несколько месяцев.
Вскоре после этого на форумах Snapcraft появился пост от Холли Холл (Holly Hall), руководителя отдела продуктов для Ubuntu компании Canonical. Она рассказала о новой политике по ручной проверке всех новых регистраций Snap. Специалисты компании будут вручную проверять приложения и связываться с издателями для проверки snap-имен и намерений. Имя, которое вызывает подозрения, может оказаться вредоносным или связано с криптокошельком, будет отклонено. Также ожидается, что в ближайшем будущем будет создана отдельная политика для публикации криптокошельков Snap Store.
