The Snap Store, donde está en contenedores Aplicaciones instantáneas se distribuyen para la distribución Linux de Ubuntu, ha sido atacado durante meses por cargas de billeteras criptográficas falsas que buscan robar las monedas de los usuarios. Como resultado, los ingenieros de la empresa matriz de Ubuntu ahora están revisando manualmente las aplicaciones cargadas en la tienda antes de que estén disponibles.
La medida sigue a semanas de informes de Alan Pope, un ex miembro del personal de Canonical/Ubuntu en el equipo de Snapcraft, que todavía está muy activo en el ecosistema. En febrero, el Papa escribió en su blog cómo un inversor de bitcoins perdió nueve bitcoins (alrededor de $490,000 en ese momento) usando una aplicación «Exodus Wallet» de la tienda Snap. Exodus es una billetera de criptomonedas conocida, pero esta billetera no era de esa entidad. Según lo detallado por un usuario preguntándose qué pasó en los foros de Snapcraftla billetera transfirió inmediatamente todo su saldo a una dirección desconocida después de ingresar una frase de recuperación de 12 palabras (lo que Exodus le indica en las páginas de soporte que nunca debe hacer).
Pope se esfuerza en señalar que las criptomonedas conllevan inherentemente riesgos de pérdidas. Aún así, el App Center de Ubuntu, que presenta Snap Store para usuarios de escritorio, etiquetó la aplicación «Exodus» como «segura» y la versión web de Snap Store describe Snaps como «seguro para ejecutar». Si bien Ubuntu describe las aplicaciones como «seguras» en el sentido de ser un contenedor de actualización automática con confinamiento de tiempo de ejecución (o «en zona de pruebas»), una marca de verificación verde con «segura» al lado podría malinterpretarse, especialmente por un recién llegado a Ubuntu. Snaps y Linux en general.
Más que eso, la publicación de Pope señala que escribir, empaquetar y cargar el Snap en la tienda de Ubuntu da como resultado una aplicación que es «inmediatamente buscable y disponible para alguiencasi en cualquier lugar descargarlo, instalarlo y ejecutarlo» (énfasis de Pope). No hay, señaló, «no hay humanos en el circuito».
Mark Shuttleworth, fundador de Ubuntu y director ejecutivo de Canonical, respondió a un hilo relacionado sobre si las aplicaciones criptográficas deberían prohibirse por completo. «Estoy de acuerdo en que las criptomonedas son en gran medida un pozo negro de intenciones innobles, incluso si las matemáticas son interesantes», escribió Shuttleworth. En Ubuntu, era «justo desafiarnos a nosotros mismos» a ofrecer medidas de seguridad adicionales, «incluso si nunca serán perfectas». Hacer que las aplicaciones sean más seguras para las personas vulnerables a la ingeniería social es «un problema muy difícil, pero creo que podemos y debemos abordarlo», escribió Shuttleworth.
Sin embargo, no está de acuerdo con que las aplicaciones de criptomonedas deban prohibirse ampliamente.
Después de lo que Shuttleworth describió como «una guerra silenciosa con estos actores maliciosos durante los últimos meses» (que fue, según Pope, en curso desde principios de este mes), Las instantáneas de hecho están cambiando.
En los foros de Snapcraft, Holly Hall, líder de producto de Canonical, la empresa de servicios de respaldo de Ubuntu, escribió la semana pasada sobre una nueva política de revisión manual para todos los nuevos registros de Snap. Los equipos de ingeniería revisarán las aplicaciones y se comunicarán con los editores para verificar los nombres y las intenciones. Se rechazará un nombre que sea «sospechoso de ser malicioso o relacionado con una billetera criptográfica». Próximamente se publicará una política sobre cómo publicar correctamente una billetera criptográfica en la tienda Snap, escribió Hall.
Como lo señala The Registeruna plataforma de aplicaciones (tienda) de espacio aislado diferente, Flathub, Recientemente realizó cambios relacionados con su proceso de validación.. Flathub ahora marca aplicaciones que han realizado cambios notables en las solicitudes de permiso o en los nombres de los paquetes. Los repositorios de software abiertos han enfrentado durante mucho tiempo problemas con cargas maliciosas similares, incluyendo el índice PyPI para la programación en Python.
Ars se comunicó con Canonical para hacer comentarios y actualizará esta publicación si recibimos una respuesta.