Canonical ประกาศนโยบายรีวิวทุกแพ็กเกจที่ส่งเข้าระบบ Snap Store หรือรู้จักกันในชื่อ Snapcraft (สำหรับใช้ใน Ubuntu) ด้วยมนุษย์ หลังจากถูกโจมตีด้วยการส่งแพ็กเกจแอพ crypto wallet ปลอมเข้ามาในระบบ และมีผู้ใช้ถูกขโมยเหรียญคริปโตไปบ้างแล้ว
การลงทะเบียนแพ็กเกจ snap ใหม่จำเป็นต้องกรอกฟอร์ม อธิบายรูปแบบการทำงานของแพ็กเกจ และรอการรีวิวจากวิศวกรของ Canonical ก่อน (ใช้เวลา 2 วันทำการ) เมื่อผ่านแล้วจึงสามารถส่งแพ็กเกจเข้าระบบได้
การโจมตีคลังซอฟต์แวร์ยอดนิยมเป็นสิ่งที่เกิดขึ้นเรื่อยๆ ในช่วงหลัง โดยเคสล่าสุดคือ PyPI ถึงขั้นต้องปิดรับแพ็กเกจใหม่ชั่วคราว และคลังอื่นๆ อย่าง GitHub, RubyGems, npm ก็เจอปัญหาแบบนี้กันถ้วนหน้า
ที่มา - Snapcraft, Ars Technica
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
ปกติคนที่ใช้ Linux กับมีกระเป๋าเงิน crypto ดูแล้วน่าจะเป็น power user ที่มักจะระวังเรื่องความปลอดภัยกันระดับนึงอยู่แล้วมั้ยนะ โดยเฉพาะที่เกี่ยวข้องกับเงินๆทองๆ
เคสนี้ เจ้าตัวน่าจะเชื่ออย่างสนิทใจว่าแอพใน Snap Store น่าจะผ่านการ verified มาแล้วล่ะมั้ง เลยโดนเลย ทั้งๆที่เท่าที่ฟังมา ถ้าไปดูชื่อคนพัฒนาแอพฯ ก็จะรู้เลยว่าไม่ใช่ของจริง
..: เรื่อยไป
ที่น่าห่วงอีกอย่างคือ Library ซ้อน Library เช่น เขียนด้วย Java แต่เรียก JNI ไปยัง code ภาษา C ซึ่งถ้าแฝงโค๊ดมุ่งร้ายในภาษา C แล้วสร้างสภาวะกระตุ้นจากภายนอกด้วยปัจจัยที่หลากหลาย เช่น ดูจาก profile เหยื่อและเลือกระบุข้อมูลกระตุ้นให้ตรงกับสิ่งที่ข้อต้องการ เพื่อให้มันทำงานก็น่าจะติดตามยาก
ไม่ใช้ Ubuntu ก็เพราะ Snap นี่แหละ
ผมชอบ debian มากกว่า แต่ก็ใช้ ubuntu เพราะทีมใช้และใช้เป็น server มากกว่าผมจึงไม่ซีเรียส ส่วน desktop ก็ gnome ซึ่งปิดการติดตั้งแบบ snap แทน