Измамни приложения в Snap Store
Наскоро беше публикувана новината, че в директорията на приложението Snap Store (използва се в Ubuntu и се поддържа от Canonical), Идентифицирани са 10 приложения, които са проектирани като официални клиенти за портфейли за криптовалута популярни, но които всъщност не са свързани с разработчиците на тези проекти и извършват злонамерени действия.
Споменава се, тревожното е, че тези Приложенията бяха означени като „безопасни“ в каталога, създавайки впечатление, че са проверени и безопасни за употреба.
Тези приложения бяха публикувани от потребител digisafe00000 и бяха представени с имена, подобни на оригинални приложения за криптовалута. Макар че Първоначално премахнати от каталога на Snap Store, те бързо се появиха отново под нов потребител, наречен codeguard0x0000, с леко променени имена на пакети като "exodus-build-71776" и "metamask-stable28798".
Този проблем не е нов оттогава Подобна активност се наблюдава през февруари, като доведе до кражба на приблизително 9 биткойна (около $500 2022) от потребител, който е инсталирал фалшив Exodus клиент. Тъй като авторите на тези злонамерени приложения успяват да избегнат автоматичната система за проверка на пакети на Snap Store, някои експерти предлагат пълна забрана на публикуването на непроверени приложения, свързани с криптовалута, на тази платформа, следвайки примера на ограниченията, които ще бъдат въведени през XNUMX г. за приложения от тази Тип. Струва си да се спомене, че тези забранени приложения са били свързани с проекти на платформата за съвместна разработка SourceHut.
За инцидента, си отвориха няколко теми във форума на Snapcraft:
Виждали сме вълна от качвания на приложения, които подмамват потребителите да разкрият чувствителна информация. Те не атакуват инженерството на системата, а по-скоро атакуват потребителя чрез социално инженерство, така че правилата за блокиране не могат да решат проблема.
Екипът работи върху различни инициативи за смекчаване и намаляване на риска от приложения като това. Това, което ме тревожи обаче, е, че приложенията могат да бъдат актуализирани, така че дори ако дадено приложение е щателно прегледано по време на първоначалното му пускане, същото приложение може да стане измамно на по-късна дата.
Едно нещо, което можем да направим, е да изискваме по-пълно доказателство за самоличността на всеки издател. Можем да изискваме кредитна карта и бихме могли да интегрираме технологията „опознай своя клиент“, която банките, базирани на приложения, използват за проверка на някакъв вид идентификация, като паспорт. Те обикновено изискват нещо като паспортна снимка заедно с видеоклип на лицето, което говори. Мисля, че повечето банки използват услугите на SAAS за тази възможност за KYC и бихме могли да използваме същите услуги за проверка на самоличността на издателя на Snapcraft.
Приложенията са манекени, които показват уеб страници от външен сайт използвайки обвивка, базирана на WebKit GTK, която симулира работата на нормално настолно приложение (февруарският инцидент включва фиктивни приложения, написани на Flutter). От функциите работи само операцията по импортиране на ключове и възстановяване на портфейл, а опитите за създаване на нов портфейл завършват с грешка.
фалшив портфейл Exodus
Като такъв се споменава, че javascript е доста прост, тъй като има речник на разрешените думи в ключ за възстановяване, тъй като докато потребителят въвежда думи, приложението проверява списъка и ако всички въведени думи са в речника, то ще позволи използването на бутона „Продължи“, за да изпрати заявка „POST“ до крайна точка /collect на сървъра. Той също така периодично „пингва“ сървъра с прост полезен товар, за да провери мрежовата свързаност, телеметрията или да види кои от измамните приложения за портфейли се използват.
Ако потребителят извърши операция по импортиране от съществуващ портфейл, паролата за възстановяване, свързана с него, се изпраща до сървъра на атакуващия и на потребителя се показва съобщение за неуспешното възстановяване на портфейла. След като се получи достъп до ключовете, нападателите изтеглят всички средства от портфейла на жертвата.
Ако сте заинтересовани да научите повече за това, можете да проверите подробностите В следващия линк.