Canonical ประกาศนโยบายรีวิวทุกแพ็กเกจที่ส่งเข้าระบบ Snap Store หรือรู้จักกันในชื่อ Snapcraft (สำหรับใช้ใน Ubuntu) ด้วยมนุษย์ หลังจากถูกโจมตีด้วยการส่งแพ็กเกจแอพ crypto wallet ปลอมเข้ามาในระบบ และมีผู้ใช้ถูกขโมยเหรียญคริปโตไปบ้างแล้ว
การลงทะเบียนแพ็กเกจ snap ใหม่จำเป็นต้องกรอกฟอร์ม อธิบายรูปแบบการทำงานของแพ็กเกจ และรอการรีวิวจากวิศวกรของ Canonical ก่อน (ใช้เวลา 2 วันทำการ) เมื่อผ่านแล้วจึงสามารถส่งแพ็กเกจเข้าระบบได้
การโจมตีคลังซอฟต์แวร์ยอดนิยมเป็นสิ่งที่เกิดขึ้นเรื่อยๆ ในช่วงหลัง โดยเคสล่าสุดคือ PyPI ถึงขั้นต้องปิดรับแพ็กเกจใหม่ชั่วคราว และคลังอื่นๆ อย่าง GitHub, RubyGems, npm ก็เจอปัญหาแบบนี้กันถ้วนหน้า
ที่มา - Snapcraft, Ars Technica
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- สงคราม GenAI บนคลาวด์ในปี 2024 ไปถึงไหนกันแล้ว | Cloudnone x AWS
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
Comments
ปกติคนที่ใช้ Linux กับมีกระเป๋าเงิน crypto ดูแล้วน่าจะเป็น power user ที่มักจะระวังเรื่องความปลอดภัยกันระดับนึงอยู่แล้วมั้ยนะ โดยเฉพาะที่เกี่ยวข้องกับเงินๆทองๆ
เคสนี้ เจ้าตัวน่าจะเชื่ออย่างสนิทใจว่าแอพใน Snap Store น่าจะผ่านการ verified มาแล้วล่ะมั้ง เลยโดนเลย ทั้งๆที่เท่าที่ฟังมา ถ้าไปดูชื่อคนพัฒนาแอพฯ ก็จะรู้เลยว่าไม่ใช่ของจริง
..: เรื่อยไป
ที่น่าห่วงอีกอย่างคือ Library ซ้อน Library เช่น เขียนด้วย Java แต่เรียก JNI ไปยัง code ภาษา C ซึ่งถ้าแฝงโค๊ดมุ่งร้ายในภาษา C แล้วสร้างสภาวะกระตุ้นจากภายนอกด้วยปัจจัยที่หลากหลาย เช่น ดูจาก profile เหยื่อและเลือกระบุข้อมูลกระตุ้นให้ตรงกับสิ่งที่ข้อต้องการ เพื่อให้มันทำงานก็น่าจะติดตามยาก
ไม่ใช้ Ubuntu ก็เพราะ Snap นี่แหละ
ผมชอบ debian มากกว่า แต่ก็ใช้ ubuntu เพราะทีมใช้และใช้เป็น server มากกว่าผมจึงไม่ซีเรียส ส่วน desktop ก็ gnome ซึ่งปิดการติดตั้งแบบ snap แทน