O que você precisa saber sobre "malware" de criptomoeda encontrado no Ubuntu Snap Store

17 de maio de 2018

Recentemente, foi descoberto que alguns aplicativos na loja Ubuntu Snaps continham software de mineração de criptomoeda. A Canonical removeu rapidamente os aplicativos ofensivos, mas várias perguntas ficaram sem resposta.

Descoberta do Crypto Miner no Snap Store

Malware Crypto Miner no Ubuntu Snap Store Crypto Miner Malware no Ubuntu Snap Store

Em 11 de maio, um usuário chamado tarwirdur abriu um novo problema no repositório snapcraft.io. Na edição, ele observou que um snap intitulado 2048buntu, criado por Nicolas Tomb, continha um minerador de criptomoedas. Ele perguntou como ele poderia reclamar do aplicativo por motivos de segurança. Tarwirdur postou mais tarde para dizer que todos os outros instantâneos criados por Nicolas Tomb também continham mineradores de criptomoeda.

Parece que os snaps usaram o systemd para iniciar automaticamente o código na inicialização e executá-lo em segundo plano, sem que o usuário soubesse.

{Para aqueles que não estão familiarizados com a terminologia, um minerador de criptomoedas é um software que usa o processador principal de um computador ou processador gráfico para extrair moeda digital. A mineração geralmente envolve a resolução de uma equação matemática. Neste caso, se você estava executando o jogo 2048buntu, o jogo usava poder de processamento adicional para mineração de criptomoedas.}

A equipe Snapcraft respondeu removendo rapidamente todos os aplicativos criados pelo infrator. Eles também iniciaram uma investigação.

O homem por trás da máscara fala

Em 13 de maio, um usuário do Disqus chamado Nicolas Tomb postou um comentário sobre a cobertura de notícias do OMGUbuntu. Neste comentário, ele afirmou que adicionou o minerador de criptomoeda para monetizar os encaixes. Ele se desculpou por suas ações e prometeu enviar todos os fundos que haviam sido minerados para a fundação Ubuntu.

Não podemos afirmar com certeza se este comentário foi postado pelo mesmo Nicolas Tomb, já que a conta do Disqus foi criada recentemente e tem apenas um comentário associado a ela. Por agora, vamos assumir que sim.

Canônico faz uma declaração

Em 15 de maio, a Canonical divulgou um comunicado sobre a situação. Intitulado Trust and security in the Snap Store, a postagem começa reafirmando a situação. Eles acrescentam que os encaixes foram reeditados com o código de mineração da criptomoeda removido.

A Canonical então tenta examinar os motivos de Nicolas Tomb. Eles observam que ele disse que fez isso na tentativa de monetizar os aplicativos (como afirmado acima) e parou de fazer isso quando confrontado. Eles também observam que a mineração de criptomoedas não é ilegal ou antiética por si só. Eles estão, entretanto, insatisfeitos com o fato de que ele não revelou o minerador de criptomoedas na descrição instantânea.

A partir daí, a Canonical muda para o assunto de revisão de software. De acordo com a postagem, a Snap Store usa um sistema de controle de qualidade semelhante ao iOS, Android e Windows: pontos de verificação automatizados pelos quais os pacotes devem passar antes de serem aceitos e revisões manuais por uma pessoa quando problemas específicos são sinalizados.

No entanto, a Canonical diz que é impossível para um repositório de grande escala aceitar software apenas depois que cada arquivo individual foi analisado em detalhes. Portanto, eles precisam confiar na fonte, não no conteúdo. Afinal, é nisso que se baseia o atual sistema de repositório do Ubuntu.

A Canonical segue falando sobre o futuro dos instantâneos. Eles reconhecem que o sistema atual não é perfeito. Eles estão continuamente trabalhando para melhorá-lo. Eles têm recursos de segurança muito interessantes nas obras que vão melhorar a segurança do sistema e também a experiência das pessoas que lidam com implantações de software em servidores e desktops.

Um dos recursos em que estão trabalhando é a capacidade de ver se um editor foi verificado. Outras melhorias incluem: upstreaming de todos os patches do kernel do AppArmor e outras correções internas.

Reflexões sobre o ‘malware de loja instantânea’

Com base em tudo o que li, tenho algumas ideias e perguntas minhas.

Quanto tempo durou isso?

Em primeiro lugar, há quanto tempo esses instantâneos de mineração estão disponíveis na Snap Store? Como todos foram removidos, não temos esses dados. Consegui pegar uma imagem da página 2048buntu do cache do Google, mas não mostra muito de nada. Dependendo de quanto tempo funcionou, em quantos sistemas foi instalado e qual criptomoeda estava sendo minerada, poderíamos falar sobre um pouco de dinheiro ou uma pilha. Uma outra questão é: a Canonical teria sido capaz de detectar isso no futuro?

Era realmente um malware?

Muitos sites de notícias estão relatando isso como uma infecção por malware. Acho que posso até ter visto este incidente referido como o primeiro malware do Linux. Não tenho certeza se esse termo é preciso. O Dictionary.com define malware como: software com a intenção de danificar um computador, dispositivo móvel, sistema de computador ou rede de computadores ou ter controle parcial sobre sua operação.

Os encaixes em questão não danificaram ou assumiram o controle dos computadores envolvidos. também não infectou outros computadores. Não poderia ser porque todos os encaixes são em sandbox. No máximo, eles roubaram poder do processador, só isso. Então, eu não chamaria de malware.

Nothing Like a Loophole

A única defesa que Nicolas Tomb usa é que a Snap Store não tinha nenhuma regra contra a mineração de criptomoedas quando ele carregou os snaps. {Posso apostar que eles estão corrigindo esse problema agora.} Eles não tinham essa regra pela simples razão de que ninguém a tinha feito antes. Se Tomb estava tentando fazer as coisas corretamente, ele deveria ter perguntado se esse tipo de comportamento era permitido. O fato de que ele não parecia apontar para o fato de que ele sabia que eles provavelmente diriam não. No mínimo, eles teriam dito a ele para colocá-lo na descrição.

!

Algo parece Hinkey

Como eu disse antes, obtive uma captura de tela da página 2048buntu do cache do Google. Apenas olhar para ele levanta várias bandeiras vermelhas. Primeiro, quase não há uma descrição real. Isso é tudo o que diz Jogo como 2048. Este jogo é um clone popular - 2048 com cores do Ubuntu. Uau. {Isso vai trazer os otários.} Quando leio algo tão vazio como isso, fico nervoso.

Outra coisa a notar é o tamanho dele. A versão 1.0 do snap 2048buntu pesa quase 140 MB. Por que um jogo tão simples precisaria de tanto espaço? Existem versões de navegador escritas em Javascript que provavelmente usam menos de um quarto disso. Existem outros snaps de 2048 jogos no Snap Store e nenhum deles tem metade do tamanho do arquivo.

Então, você tem a licença. Este é um clone de um jogo popular usando as cores do Ubuntu. Como pode ser considerado proprietário? Tenho certeza de que desenvolvedores legítimos do público o teriam enviado com uma licença FOSS (Software Livre e de Código Aberto) apenas por causa do conteúdo.

Esses fatores por si só deveriam ter feito este snap, em particular, se destacar e exigir uma revisão.

Quem é Nicolas Tomb?

Depois de ler sobre isso pela primeira vez, decidi ver o que poderia descobrir sobre o cara que começou essa bagunça. Quando procurei por Nicolas Tomb, não encontrei nada, zip, nada, zilch. Tudo o que encontrei foram um monte de artigos de notícias sobre as fotos da mineração de criptomoedas e informações sobre como fazer uma viagem ao túmulo de São Nicolau. Não há sinal de Nicolas Tomb no Twitter ou no Github também. Este parece ser um nome criado apenas para enviar essas fotos.

Isso também leva a um ponto na postagem do blog da Canonical sobre a verificação de editores. A última vez que olhei, alguns instantâneos não foram publicados pelos mantenedores dos aplicativos. Isso me deixa nervoso. Eu estaria mais disposto a confiar em um piscar de olhos, digamos, Firefox, se fosse publicado pela Mozilla, em vez de Leonard Borsch. Se for muito trabalhoso para o mantenedor do aplicativo cuidar do snap, deve haver uma maneira de o mantenedor colocar seu selo de aprovação no snap para seu programa. Algo como o Firefox snap publicado por Fredrick Ham, aprovado pela Mozilla Foundation. Apenas algo para dar ao usuário mais confiança no que está baixando.

Snap Store definitivamente tem espaço para melhorar

Parece-me que um dos primeiros recursos que a equipe da Snap Store deveria ter implementado era uma forma de relatar snaps suspeitos. tarwirdur teve que encontrar a página Github do site. O usuário médio não teria pensado nisso. Se o Snap Store não pode revisar todas as linhas de código, permitir que os usuários relatem problemas é a próxima melhor coisa. Mesmo o sistema de classificação não seria uma má adição. Tenho certeza de que algumas pessoas teriam dado ao 2048buntu uma classificação baixa por usar muitos recursos do sistema.

Conclusão

De tudo o que vi, acho que alguém criou uma série de aplicativos simples, incorporou um minerador de criptomoedas em cada um e os carregou para a Snap Store com o objetivo de juntar pilhas de dinheiro. Assim que foram pegos, alegaram que era apenas para monetizar os cliques. Se isso fosse verdade, eles teriam mencionado na descrição instantânea. Criptografadores ocultos não são nada novo. Eles geralmente são um método de computação de roubo de energia.

Eu gostaria que a Canonical já tivesse recursos para combater esse problema e espero que eles apareçam rapidamente.

O que você acha do ‘episódio de malware’ da Snap Store? O que você faria para melhorá-lo? Deixe-nos saber nos comentários abaixo.

Se você achou este artigo interessante, reserve um minuto para compartilhá-lo nas redes sociais.

Confira também a versão original desse post em inglês
Esse post foi originalmente escrito por John Paul e publicado no site itsfoss.com. Tradução sujeita a revisão.

What You Need to Know About Cryptocurrency ‘Malware’ Found on Ubuntu’s Snap Store

Propaganda
Blog Comments powered by Disqus.
Propaganda