最近、次のような懸念すべき事例が明らかになった。 スナップストア多くのGNU/Linuxディストリビューションで使用されているSnapアプリケーションの公式リポジトリ。問題はパッケージングシステム自体の技術的な欠陥ではなく、ストアの基盤となる信頼モデルの悪用に関連しています。
何が起こったかというと 悪意のある第三者が悪意のあるコードを含むバージョンを公開することに成功した 彼らは、以前は正規のアプリケーションだったものを標的にしました。そのために、彼らは新しいアカウントや疑わしいパッケージを一から作成するのではなく、長期間使用されていない正規の開発者アカウントを乗っ取りました。これにより、影響を受けたアプリケーションは履歴や過去のダウンロード履歴があり、すぐにアラートをトリガーしないため、信頼できるものに見せかけられました。
スナップストアが侵害されたのは今回が初めてではない
攻撃の鍵は、これらの開発者アカウントに関連付けられたドメインにあります。多くの場合、元のプロジェクトはメンテナンスされておらず、リンクされていたウェブドメインも有効期限が切れていました。攻撃者はこれらのドメインを再登録し、関連付けられたメールアドレスを制御することで、Snap Storeの公開アカウントへのアクセスを回復しました。侵入後、必要なのは改変されたソフトウェアアップデートをアップロードすることだけでした。
検出された悪意のあるコードは主に暗号通貨関連のアプリケーションに焦点を当てていました。これらの改変版は正規のウォレットの動作を模倣し、ユーザーにリカバリフレーズなどの機密データの入力を求めました。これらの情報は攻撃者が管理するサーバーに送信され、オペレーティングシステムの脆弱性を悪用することなく資金を窃取することができました。
このタイプの攻撃は、偽の名前や明らかに疑わしいアプリケーションを使用してユーザーを欺くことに依存しないため、特に危険です。 過去のプロジェクトで蓄積された信頼に依存している また、開発者アカウントの所有者が長期にわたって本人であるかどうかを確認するための厳格なメカニズムが欠如していることも問題です。
影響を受けたアプリケーションはすでに削除されています
問題が発見された後、 影響を受けたアプリケーションは削除されましたそれでも、この事件は、集中型ソフトウェアストアのセキュリティと、自動レビューシステムの有効性に関する議論を再燃させました。また、開発者アカウント、特に放棄されたプロジェクトや、もはや積極的にメンテナンスされていないプロジェクトに関連するアカウントを保護することの重要性を浮き彫りにしました。
ユーザーにとって最も重要な教訓は、どんなアプリストアも絶対安全ではないということです。従来より安全だと思われてきたLinuxのような環境であっても、配布モデルが信頼と自動化に依存している場合、悪用される可能性があります。特に暗号通貨や認証情報に関連する機密性の高いアプリケーションについては、細心の注意を払うことが依然として重要な対策です。