Alan Pope, iama Inĝeniera kaj Komunuma Manaĝero ĉe Canonical, rimarkis novan ondon de atakoj celantaj uzantojn de la aplikaĵa katalogo de Snap Store. Anstataŭ registri novajn kontojn, atakantoj komencis aĉeti eksvalidiĝintajn domajnojn listigitajn en la retpoŝtadresoj de registritaj Snap-programistoj. Post aĉeto de la domajno, la atakantoj redirektas retpoŝtan trafikon al sia servilo kaj, akirinte kontrolon de la retpoŝtadreso, iniciatas procezon por reakiri forgesitajn pasvortojn por aliri la konton.
Per akirado de kontrolo de ekzistanta konto, atakantoj povas deploji malicajn ĝisdatigojn al antaŭe publikigitaj, fidindaj aplikaĵoj, preterirante la plibonigitajn kontrolojn aplikitajn al novaj uzantoj kaj evitante la aldonon de avertaj etikedoj por novaj projektoj. Alan Pope identigis almenaŭ du domajnojn (enstorewise.tech kaj vagueentertainment.com) aĉetitajn de atakantoj por ŝteli kontojn, sed oni kredas, ke ekzistas multaj pliaj tiaj kazoj.
En la pasinteco, atakantoj limigis sin al registrado de siaj propraj kontoj kaj publikigado de malicajn pakaĵojn, kiuj ŝajnigis esti oficialaj versioj de populara programaro aŭ uzis nomojn similajn al ekzistantaj pakaĵoj (tajperado). Responde, Canonical enkondukis manan konfirmon de novaj pakaĵnomoj afiŝitaj en la Snap Store por la unua fojo. De tiam, distribuistoj de malica programaro ĉefe fokusiĝis al afiŝado de originalaj pakaĵoj, reklamado de ili en sociaj retoj, kaj fine publikigado de malica ĝisdatigo, kiu provas preteriri la aŭtomatajn kontrolojn kaj filtrojn de la Snap Store.
Nun la atakvektoro ŝanĝiĝis al reaĉeto de eksvalidiĝintaj domajnoj, ĉar la deponejo Snap Store ne efektivigis graveckontrolon. domajnaj nomoj, uzata en retpoŝtadresoj. Lastjare, la deponejo PyPI (Python Package Index) renkontis similan problemon, aŭtomate markante retpoŝtadresojn kun eksvalidiĝintaj domajnoj kiel nekonfirmitaj. Pli ol 1 800 tiaj retpoŝtadresoj estis blokitaj en PyPI.
fonto: opennet.ru
