સ્નેપ સ્ટોર પર કપટપૂર્ણ એપ્લિકેશનો
એપ્લિકેશન ડિરેક્ટરીમાં તાજેતરમાં સમાચાર પ્રકાશિત થયા હતા સ્નેપ સ્ટોર (ઉબુન્ટુમાં વપરાયેલ અને કેનોનિકલ દ્વારા જાળવવામાં આવે છે), 10 એપ્લિકેશનો ઓળખવામાં આવી હતી જે ક્રિપ્ટોકરન્સી વોલેટ્સ માટે સત્તાવાર ક્લાયન્ટ તરીકે ડિઝાઇન કરવામાં આવી હતી લોકપ્રિય છે, પરંતુ તે ખરેખર આ પ્રોજેક્ટ્સના વિકાસકર્તાઓ સાથે સંબંધિત ન હતા અને દૂષિત ક્રિયાઓ કરી હતી.
ઉલ્લેખ છે કે, ચિંતાજનક બાબત એ છે કે આ એપને "સલામત" લેબલ કરવામાં આવ્યું હતું સૂચિમાં, એવી છાપ ઊભી કરી કે તેઓ ચકાસવામાં આવ્યા હતા અને ઉપયોગ માટે સલામત હતા.
આ એપ્સ વપરાશકર્તા digisafe00000 દ્વારા પ્રકાશિત કરવામાં આવ્યા હતા અને અસલી ક્રિપ્ટોકરન્સી એપ્લીકેશન જેવા નામો સાથે રજૂ કરવામાં આવ્યા હતા. જોકે શરૂઆતમાં સ્નેપ સ્ટોર કેટેલોગમાંથી દૂર કરવામાં આવ્યા હતા, તેઓ ઝડપથી ફરી દેખાયા હતા કોડગાર્ડ0x0000 નામના નવા વપરાશકર્તા હેઠળ, "exodus-build-71776" અને "metamask-stable28798" જેવા સહેજ બદલાયેલા પેકેજ નામો સાથે.
ત્યારથી આ સમસ્યા નવી નથી ફેબ્રુઆરીમાં પણ આવી જ પ્રવૃત્તિ જોવા મળી હતી. શું લગભગ 9 બિટકોઈનની ચોરીમાં પરિણમ્યું (લગભગ $500k) એવા વપરાશકર્તા પાસેથી કે જેણે નકલી એક્ઝોડસ ક્લાયંટ ઇન્સ્ટોલ કર્યું. કારણ કે આ દૂષિત એપ્લિકેશનના લેખકો સ્નેપ સ્ટોરની સ્વચાલિત પેકેજ વેરિફિકેશન સિસ્ટમથી બચવાનું મેનેજ કરે છે, કેટલાક નિષ્ણાતો આ પ્લેટફોર્મ પર વણચકાસાયેલ ક્રિપ્ટોકરન્સી-સંબંધિત એપ્લિકેશનોના પ્રકાશન પર સંપૂર્ણપણે પ્રતિબંધ મૂકવાનું સૂચન કરે છે, આની એપ્લિકેશનો માટે 2022 માં પ્રતિબંધો લાગુ કરવામાં આવશે. પ્રકાર ઉલ્લેખનીય છે કે આ પ્રતિબંધિત અરજીઓ સહયોગી વિકાસ પ્લેટફોર્મ સોર્સહટ પરના પ્રોજેક્ટ્સ સાથે જોડાયેલી હતી.
બનાવ અંગે એસઅને તેઓએ સ્નેપક્રાફ્ટ ફોરમ પર કેટલાક થ્રેડો ખોલ્યા:
અમે એપ અપલોડ્સની સંખ્યા જોઈ છે જે વપરાશકર્તાઓને સંવેદનશીલ માહિતી જાહેર કરવા માટે છેતરે છે. આ સિસ્ટમના એન્જિનિયરિંગ પર હુમલો કરતા નથી, પરંતુ સોશિયલ એન્જિનિયરિંગ દ્વારા વપરાશકર્તા પર હુમલો કરે છે, તેથી લોકડાઉન નિયમો સમસ્યાને હલ કરી શકતા નથી.
ટીમ આના જેવી અરજીઓના જોખમને ઘટાડવા અને ઘટાડવા માટે વિવિધ પહેલ પર કામ કરી રહી છે. જો કે, મને ચિંતા એ છે કે એપ્લિકેશન્સ અપડેટ કરી શકાય છે, તેથી જો કોઈ એપ્લિકેશન તેના પ્રારંભિક પ્રકાશન સમયે સંપૂર્ણ રીતે સમીક્ષા કરવામાં આવે તો પણ, તે જ એપ્લિકેશન પછીની તારીખે છેતરપિંડી બની શકે છે.
અમે એક વસ્તુ કરી શકીએ છીએ તે છે દરેક પ્રકાશક માટે પ્રકાશક ઓળખના વધુ સંપૂર્ણ પુરાવાની જરૂર છે. અમને ક્રેડિટ કાર્ડની જરૂર પડી શકે છે અને અમે "તમારા ગ્રાહકને જાણો" ટેક્નોલોજીને એકીકૃત કરી શકીએ છીએ જેનો ઉપયોગ એપ્લિકેશન-આધારિત બેંકો પાસપોર્ટ જેવા અમુક પ્રકારની ઓળખ ચકાસવા માટે કરે છે. આમાં સામાન્ય રીતે બોલતી વ્યક્તિના વીડિયોની સાથે પાસપોર્ટ ફોટો જેવું કંઈક જરૂરી હોય છે. મને લાગે છે કે મોટાભાગની બેંકો આ KYC ક્ષમતા માટે SAAS સેવાઓનો ઉપયોગ કરે છે અને અમે Snapcraft પ્રકાશક ઓળખ ચકાસણી માટે સમાન સેવાઓનો ઉપયોગ કરી શકીએ છીએ.
એપ્લિકેશન્સ ડમી છે જે બાહ્ય સાઇટ પરથી વેબ પૃષ્ઠો પ્રદર્શિત કરે છે વેબકિટ GTK-આધારિત રેપરનો ઉપયોગ કરીને જે સામાન્ય ડેસ્કટોપ એપ્લિકેશનની કામગીરીનું અનુકરણ કરે છે (ફેબ્રુઆરીની ઘટનામાં ફ્લટરમાં લખાયેલ કાલ્પનિક એપ્લિકેશન સામેલ હતી). કાર્યોમાંથી, ફક્ત કી આયાત કરવાનું અને વૉલેટને પુનર્સ્થાપિત કરવાનું કાર્ય કરે છે, અને ભૂલ સાથે નવું વૉલેટ બનાવવાનો પ્રયાસ કરે છે.
નકલી એક્ઝોડસ વૉલેટ
જેમ કે, તેનો ઉલ્લેખ છે javascript એકદમ સરળ છે, કારણ કે તેમાં માન્ય શબ્દોનો શબ્દકોશ છે પુનઃપ્રાપ્તિ કીમાં કારણ કે વપરાશકર્તા શબ્દો લખે છે, એપ્લિકેશન સૂચિને તપાસે છે અને જો દાખલ કરેલા બધા શબ્દો શબ્દકોશમાં છે, તો તે "ચાલુ રાખો" બટનનો ઉપયોગ /કલેક્ટ એન્ડપોઇન્ટને "POST" વિનંતી મોકલવા માટે પરવાનગી આપશે. સર્વર પર. તે સમયાંતરે નેટવર્ક કનેક્ટિવિટી, ટેલિમેટ્રી તપાસવા અથવા કપટપૂર્ણ વૉલેટ એપ્લિકેશન્સનો ઉપયોગ કરવામાં આવે છે તે જોવા માટે સામાન્ય પેલોડ સાથે સર્વરને "પિંગ" કરે છે.
જો વપરાશકર્તા હાલના વૉલેટમાંથી આયાત ઑપરેશન કરે છે, તો તેની સાથે સંકળાયેલ પુનઃપ્રાપ્તિ પાસફ્રેઝ હુમલાખોરના સર્વરને મોકલવામાં આવે છે અને વપરાશકર્તાને વૉલેટ પુનઃપ્રાપ્તિ નિષ્ફળતા વિશે સંદેશ બતાવવામાં આવે છે. એકવાર ચાવીઓ મેળવી લીધા પછી, હુમલાખોરો પીડિતાના વૉલેટમાંથી તમામ ભંડોળ પાછી ખેંચી લે છે.
જો તમે છો તેના વિશે વધુ જાણવામાં રસ છે, તમે વિગતો ચકાસી શકો છો નીચેની કડીમાં