Canonicali endine inseneri- ja kogukonnajuht Alan Pope on märganud uut rünnakulaine, mis on suunatud Snap Store'i rakenduste kataloogi kasutajatele. Uute kontode registreerimise asemel on ründajad hakanud ostma registreeritud Snapi arendajate e-posti aadressides loetletud aegunud domeene. Pärast domeeni ostmist suunavad ründajad e-posti liikluse oma serverisse ja pärast e-posti aadressi kontrolli alla saamist alustavad unustatud parooli taastamise protsessi kontole juurdepääsuks.
Olemasoleva konto üle kontrolli saavutades saavad ründajad juurutada pahatahtlikke värskendusi varem avaldatud usaldusväärsetesse rakendustesse, möödudes uutele kasutajatele rakendatavatest täiustatud kontrollidest ja vältides uute projektide hoiatussiltide lisamist. Alan Pope on tuvastanud vähemalt kaks domeeni (enstorewise.tech ja vagueentertainment.com), mille ründajad on kontode kaaperdamiseks ostnud, kuid arvatakse, et selliseid juhtumeid on palju rohkem.
Varem piirdusid ründajad oma kontode registreerimise ja pahatahtlike pakettide avaldamisega, mis jäljendasid populaarse tarkvara ametlikke versioone või kasutasid olemasolevate pakettidega sarnaseid nimesid (tüposquatting). Vastuseks võttis Canonical esmakordselt kasutusele Snap Store'i postitatud uute paketinimede käsitsi kontrollimise. Sellest ajast alates on pahavara levitajad keskendunud peamiselt originaalpakettide postitamisele, nende reklaamimisele sotsiaalmeedias ja lõpuks pahatahtliku värskenduse avaldamisele, mis üritab Snap Store'i automaatsetest kontrollidest ja filtritest mööda hiilida.
Nüüd on rünnakuvektor nihkunud aegunud domeenide tagasiostmise poole, kuna Snap Store'i hoidla ei rakendanud asjakohasuse kontrolli. domeeninimed, mida kasutatakse e-posti aadressides. Eelmisel aastal kohtas PyPI (Python Package Index) repositoorium sarnast probleemi, märkides aegunud domeenidega e-posti aadressid automaatselt kinnitamata aadressideks. PyPI-s blokeeriti üle 1800 sellise e-posti aadressi.
Allikas: opennet.ru
