Первое приложение со скрытым майнером обнаружено в магазине приложений Ubuntu

Недавно компания Canonical, разработчик популярной операционной системы Ubuntu и владелец магазина приложений Snapcraft, обнаружила в нём приложение, которое в фоновом режиме майнит криптовалюты.

В отчёте об инциденте Canonical намеренно не называет приложение или его издателя.

Canonical сообщает, что некий издатель загрузил софт с программным майнером. При этом, скорее всего, первоначальный разработчик не в курсе, что его продукт был монетизирован таким образом.

Canonical заявила, что все приложения, загруженные этим издателем, были временно удалены. Компания уточняет, что они будут повторно загружены без вредоносного содержимого другой «доверенной стороной», которая также не называется.

Инцидент стал показательным для Canonical. Продукт Snapcraft, а также проект Snap в более широком смысле — это смелая попытка компании изменить управление пакетами всей экосистемы Linux. Canonical должна убеждать людей в своём видении той или иной проблемы и внушать им доверие.

Поэтому Canonical подошла к текущему инциденту с максимальной прозрачностью. Она не только признала существующую проблему, но и показала, как оберегает целостность магазина приложений Snapcraft, выражая своё отношение к криптоджекингу, который вряд ли может считаться законной формой монетизации.

В своём заявлении Canonical поднимает вопрос о степени правомерности действий издателя, отмечая, что данный вид криптовалютного майнинга формально нельзя назвать незаконным. Компания говорит, что этот аргумент был выдвинут самим издателем. Криптоджекинг, по словам компании, — это бизнес, больше не связан только с порно- и торрент-сайтами.

Несколько месяцев назад популярный сайт альтернативных новостей Salon заявил, что будет использовать криптоджекинг, чтобы заработать на тех посетителях, у которых установлены блокирующие рекламу расширения. По мере созревания рынка криптовалют криптоджекинг, похоже, находит всё больше сторонников.

Однако компания Canonical отклонила этот аргумент, отметив, что пользователи, загружающие софт, не были проинформированы о том, что он преследует двойную цель.

Компания заявила:

Речь не о каком-либо ограничении для криптовалют, а о том, чтобы не вводить пользователей в заблуждение.

Этот инцидент, возможно, стал первым большим испытанием для инициативы Snap. Решая эту проблему, компании пришлось признать некоторые изъяны в своей работе.

Canonical утверждает, что все приложения в Snapcraft проходят автоматическую проверку, а в отдельных случаях — ручную модерацию. Это нормально для большинства магазинов приложений.

Тем не менее компания отмечает, что сложность программных продуктов не позволяет проверить каждую строку кода и что ни одна компания не может позволить себе просматривать сотни тысяч входящих строк.

Поэтому Canonical утверждает, что лучший способ решить проблему недобросовестных участников на платформе Snap — сосредоточиться не на самом софте, а на его происхождении/издателе.

Учитывая это, компания намерена запустить программу проверенных издателей. Она немного напоминает проверку на Facebook и в Твиттере, и это позволит отличать легитимных издателей от тех, кто выдаёт себя за таковых. Подробности этой программы будут обнародованы в ближайшее время.

Canonical также намерена «постепенно и незаметно» усилить технические подходы к решению подобных проблем, уделяя больше внимания изолированию приложений от лежащей в их основе системы.

Источник

[ ОБСУДИТЬ НА ФОРУМЕ ]