Podvodné aplikácie v obchode Snap Store
Nedávno bola zverejnená správa, že v adresári aplikácie Obchod Snap (používané v Ubuntu a spravované spoločnosťou Canonical), Identifikovalo sa 10 aplikácií, ktoré boli navrhnuté ako oficiálni klienti pre kryptomenové peňaženky populárne, ale v skutočnosti nesúviseli s vývojármi týchto projektov a vykonávali škodlivé akcie.
Spomína sa, znepokojujúce je, že tieto Aplikácie boli označené ako „Bezpečné“ v katalógu, čím vzniká dojem, že boli overené a ich použitie je bezpečné.
Tieto aplikácie boli publikované používateľom digisafe00000 a boli prezentované s názvami podobnými skutočným aplikáciám kryptomien. Hoci Pôvodne boli odstránené z katalógu Snap Store, ale rýchlo sa znova objavili pod novým používateľom s názvom codeguard0x0000 s mierne zmenenými názvami balíkov, ako napríklad "exodus-build-71776" a "metamask-stable28798".
Odvtedy tento problém nie je nový Podobná aktivita bola pozorovaná vo februári, ako viedlo ku krádeži približne 9 bitcoinov (okolo 500 2022 $) od používateľa, ktorý si nainštaloval falošného klienta Exodus. Keďže sa autorom týchto škodlivých aplikácií darí obísť systém automatického overovania balíkov v obchode Snap Store, niektorí odborníci navrhujú úplný zákaz zverejňovania neoverených aplikácií súvisiacich s kryptomenami na tejto platforme, po vzore obmedzení, ktoré budú implementované v roku XNUMX pre aplikácie tejto platformy. typu. Za zmienku stojí, že tieto zakázané aplikácie boli prepojené s projektmi na kolaboratívnej vývojovej platforme SourceHut.
O incidente, sa otvorili nejaké vlákna na fóre Snapcraft:
Zaznamenali sme množstvo nahrávaní aplikácií, ktoré oklamali používateľov, aby prezradili citlivé informácie. Tieto neútočia na inžinierstvo systému, ale útočia na používateľa prostredníctvom sociálneho inžinierstva, takže pravidlá blokovania nedokážu vyriešiť problém.
Tím pracuje na rôznych iniciatívach na zmiernenie a zníženie rizika takýchto aplikácií. Čo ma však znepokojuje, je, že aplikácie sa dajú aktualizovať, takže aj keď je aplikácia v čase prvého vydania dôkladne skontrolovaná, tá istá aplikácia sa môže neskôr stať podvodnou.
Jedna vec, ktorú môžeme urobiť, je vyžadovať od každého vydavateľa úplnejší dôkaz totožnosti vydavateľa. Mohli by sme vyžadovať kreditnú kartu a mohli by sme integrovať technológiu „poznaj svojho zákazníka“, ktorú banky založené na aplikácii používajú na overenie určitého typu identifikácie, napríklad pasu. Tie zvyčajne vyžadujú niečo ako pasovú fotografiu spolu s videom hovoriacej osoby. Myslím si, že väčšina bánk používa služby SAAS pre túto schopnosť KYC a my by sme mohli použiť rovnaké služby na overenie identity vydavateľa Snapcraft.
Aplikácie sú figuríny, ktoré zobrazujú webové stránky z externej lokality pomocou wrapperu založeného na WebKit GTK, ktorý simuluje fungovanie bežnej desktopovej aplikácie (februárový incident sa týkal fiktívnych aplikácií napísaných vo Flutteri). Z funkcií funguje len operácia importovania kľúčov a obnovy peňaženky a pokusy o vytvorenie novej peňaženky končia chybou.
falošná exodus peňaženka
Ako také sa uvádza, že javascript je pomerne jednoduchý, keďže má slovník povolených slov v kľúči obnovy, pretože keď používateľ zadáva slová, aplikácia kontroluje zoznam a ak sú všetky zadané slová v slovníku, umožní použitie tlačidla "Pokračovať" na odoslanie požiadavky "POST" na koncový bod /collect na serveri. Pravidelne tiež „pingne“ server jednoduchým užitočným zaťažením, aby skontroloval sieťové pripojenie, telemetriu alebo zistil, ktoré z podvodných aplikácií peňaženky sa používajú.
Ak používateľ vykoná operáciu importu z existujúcej peňaženky, prístupová fráza na obnovenie, ktorá je s ňou spojená, sa odošle na server útočníkov a používateľovi sa zobrazí správa o zlyhaní obnovenia peňaženky. Po získaní prístupu ku kľúčom útočníci vyberú všetky prostriedky z peňaženky obete.
Ak ste záujem dozvedieť sa o tom viac, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.