24/04/2024
Homme tenant une tirelire à son bureau, avec le cochon câblé avec des circuits et du matériel étranges

Ubuntu examinera manuellement Snap Store après les escroqueries au portefeuille crypto


Agrandir / Une chose que vous pouvez dire à propos de ce portefeuille crypto : vous ne pouvez le confondre avec aucun autre.

Getty Images

Le Snap Store, où conteneurisé Applications instantanées sont distribués pour la distribution Linux d'Ubuntu, a été attaqué pendant des mois par de faux téléchargements de portefeuilles cryptographiques cherchant à voler les devises des utilisateurs. En conséquence, les ingénieurs de la société mère d'Ubuntu examinent désormais manuellement les applications téléchargées sur le magasin avant qu'elles ne soient disponibles.

Cette décision fait suite à des semaines de reportage d'Alan Pope, un ancien membre de Canonical/Ubuntu de l'équipe Snapcraft, qui est toujours très actif dans l'écosystème. En février, Pope a écrit sur son blog comment un investisseur Bitcoin a perdu neuf Bitcoins (environ 490 000 $ à l'époque) en utilisant une application « Exodus Wallet » du Snap Store. Exodus est un portefeuille de crypto-monnaie connu, mais ce portefeuille ne provenait pas de cette entité. Comme détaillé par un utilisateur je me demande ce qui s'est passé sur les forums Snapcraftle portefeuille a immédiatement transféré la totalité de son solde vers une adresse inconnue après la saisie d'une phrase de récupération de 12 mots (ce qu'Exodus vous dit de ne jamais faire sur les pages d'assistance).

Pope prend soin de noter que la crypto-monnaie comporte intrinsèquement un risque de perte. Pourtant, l'App Center d'Ubuntu, qui présente le Snap Store pour les utilisateurs de bureau, a marqué l'application « Exodus » comme « sûre », et la version Web du Snap Store décrit les Snaps comme « sûrs à exécuter ». Alors qu'Ubuntu décrit les applications comme « sûres » dans le sens d'être un conteneur à mise à jour automatique avec confinement d'exécution (ou « en bac à sable »), une coche verte avec « Sûr » à côté pourrait être mal interprétée, en particulier par un nouveau venu sur Ubuntu. Snaps et Linux en général.

Plus que cela, le message de Pope souligne que l'écriture, l'empaquetage et le téléchargement du Snap sur la boutique Ubuntu aboutissent à une application qui est « immédiatement consultable et disponible pour n'importe quipresque n'importe où pour le télécharger, l'installer et l'exécuter » (c'est nous qui soulignons par Pope). Il n'y a, a-t-il noté, « aucun humain dans la boucle ».

Mark Shuttleworth, fondateur d'Ubuntu et PDG de Canonical, a répondu à un fil de discussion connexe sur la question de savoir si les applications cryptographiques devraient être complètement interdites. « Je suis d'accord que la crypto-monnaie est en grande partie un cloaque d'intentions ignobles, même si les mathématiques sont intéressantes », a écrit Shuttleworth. Chez Ubuntu, il était « juste de se mettre au défi » d'offrir des mesures de sécurité supplémentaires, « même si elles ne seront jamais parfaites ». Rendre les applications plus sûres pour les personnes vulnérables à l'ingénierie sociale est « un problème très difficile, mais je pense que nous pouvons et devons nous y attaquer », a écrit Shuttleworth.

Il n’est toutefois pas d’accord sur le fait que les applications de cryptomonnaie devraient être largement interdites.

Après ce que Shuttleworth a décrit comme « une guerre tranquille contre ces acteurs malveillants au cours des derniers mois » (qui était, selon Pope, en cours depuis le début du mois), les Snaps changent effectivement.

Sur les forums Snapcraft, Holly Hall, responsable produit pour Canonical, la société de services de support d'Ubuntu, a écrit la semaine dernière sur une nouvelle politique de examen manuel pour toutes les nouvelles inscriptions Snap. Les équipes d'ingénierie examineront les applications et contacteront les éditeurs pour vérifier les noms et les intentions. Un nom « suspecté comme malveillant ou lié à un portefeuille cryptographique » sera rejeté. Une politique concernant la façon de publier correctement un portefeuille cryptographique dans la boutique Snap est à venir, a écrit Hall.

Comme l'a noté The Registerune autre plate-forme d'applications en bac à sable (magasin), Flathub, a récemment apporté des modifications connexes à son processus de validation. Flathub signale désormais les applications qui ont apporté des modifications notables aux demandes d'autorisation ou aux noms de packages. Les référentiels de logiciels ouverts sont depuis longtemps confrontés à des problèmes de téléchargements de sosies malveillants, notamment l'index PyPI pour la programmation Python.

Ars a contacté Canonical pour commentaires et mettra à jour ce message si nous recevons une réponse.



Source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *