Canonical on ilmoittanut väliaikaisesti keskeyttäneensä Snap Storen automaattisen julkaistujen pakettien tarkistusjärjestelmän, koska arkistoon ilmestyy paketteja, jotka sisältävät haitallista koodia varastaakseen käyttäjiltä kryptovaluuttoja. Samalla on epäselvää, rajoittuuko tapaus kolmansien osapuolien haitallisten pakettien julkaisemiseen vai onko itse arkiston turvallisuudessa ongelmia, koska virallisen tiedotteen tilanne on luonnehdittu " mahdollinen turvavälikohtaus."
Tapauksen yksityiskohdat luvataan paljastaa esitutkinnan jälkeen. Tutkinnan aikana palvelu on siirretty manuaaliseen tarkistustilaan, jossa kaikki uusien snap-pakettien rekisteröinnit tarkistetaan manuaalisesti ennen julkaisua. Muutos ei vaikuta olemassa olevien snap-pakettien päivitysten lataamiseen ja julkaisemiseen.
Ongelmia tunnistettiin ledgerlive-, ledger1-, trezor-wallet- ja electrum-wallet2-paketeissa, jotka hyökkääjät julkaisivat tunnettujen kryptolompakoiden kehittäjien virallisten pakettien varjolla, mutta joilla ei itse asiassa ollut mitään tekemistä niiden kanssa. Tällä hetkellä ongelmalliset snap-paketit on jo poistettu arkistosta, eivätkä ne ole enää haettavissa ja asennettavissa snap-apuohjelman avulla. Tapauksia haitallisten pakettien lataamisesta Snap Storeen on sattunut aiemminkin, esimerkiksi vuonna 2018 Snap Storesta tunnistettiin paketteja, jotka sisälsivät salattua koodia kryptovaluutan louhintaan.
Lähde: opennet.ru