在 Ubuntu Snap 應用商店上發現的加密貨幣 『惡意軟體』 是怎麼回事？

5 月 11 號，一位名叫 tarwirdur 的用戶在 snapcraft.io repository 開了一個新的工單 ，他提到一個由 Nicolas Tomb 開發，叫做 2048buntu 的 snap 應用包含加密貨幣礦工。tarwirdur 詢問，他怎樣才能出於安全的原因而「投訴該應用」 。tarwirdur 後來發表說其它由 Nicolas Tomb 開發的 snap 應用也都包含加密貨幣礦工。

看起來該 snap 應用使用了 systemd 在系統啟動時自動地運行代碼，並在用戶不知情的情況下在後台運行。

對那些不熟悉相關術語的人來說， 加密貨幣 cryptocurrency 礦工 miner 是一段使用計算機的主處理器或者圖形處理器來「挖掘」數字貨幣的程序。「挖礦」通常涉及到解決一個數學等式。在這種情況下，如果你在運行 2048buntu 遊戲，這個遊戲將會額外使用處理器的計算能力去進行加密貨幣的挖掘。

Snapcraft 團隊迅速地下架了所有由該違規者開發的應用來做出回應。他們同時也開展了調查。

隱匿者發聲

5 月 13 號，一位同名為 Nicolas Tomb 的 Disqus 用戶在 OMGUbuntu 的新聞報道上發表了評論，他在評論中稱自己向 snap 應用中添加了加密貨幣礦工，從而獲取收益。他為他的行為道歉，同時承諾將所有挖礦所得的收益送給 Ubuntu 基金會。

我們不能確認這個評論就是由 Nicolas Tomb 發表的，因為這個 Disqus 賬戶最近才被創建，也只有一條評論與之相關聯。現在，我們假設他是。

Canonical 公司發表了聲明

5 月 15 號，Canonical 公司在這種情況下發表了一份聲明。標題為 「在 Snap 應用商店中的信任與安全」，聲明開頭重申了當下的情況。他們也補充道重新發布的 snap 應用中已經被刪除了加密貨幣挖礦程序。

Canonical 公司隨後嘗試調查 Nicolas Tomb 的動機。他們指出，他告訴他們說自己這樣做是為了通過應用賺錢（如上所訴），而當面對質疑時就停止了。他們也指出「挖掘加密貨幣本身並非不合法和不道德的」。然而，他們仍對他沒有在 snap 應用描述中披露加密礦工這件事表示了不滿意。

隨後 Canonical 公司將話題轉移到審核軟體上。根據這份申明，Snap 應用商店將會採用一種類似 iOS、Android、Windows 的質量控制系統，這個系統將有「自動化的檢查點，安裝包必須在被接受前通過檢查，同時在特殊問題被標記時會進行人工審核」。

然後，Canonical 公司聲稱「對大規模的軟體倉庫來說，只接受每個單獨文件都被仔細審核過的軟體是不可能的」。因此，他們需要信任軟體源而不是內容。畢竟，軟體源是現在 Ubuntu 軟體倉庫系統的基礎。

Canonical 公司緊接著談到了 Snap 應用的未來。他們承認現在的系統是不完美的。他們也在不斷地進行改善。他們「在開發非常有趣的安全功能，這些功能將會在改善系統安全性同時提升人們在伺服器或桌面上進行軟體開發的體驗」。

其中一個他們正在開發的功能是查看一個軟體發布者是否已通過驗證。其他的改進包括：「將所有 AppArmor 內核補丁遞交到上游」和其它底層修復。

一些關於「Snap 應用商店中的惡意軟體」的想法

基於我所了解的所有內容，我產生了一些想法和問題。

這種挖礦軟體運行多久了？

首先，這些挖礦軟體存在於 Snap 應用商店多久了？因為它們已經被下架了，我們沒有這樣的數據。我可以通過 Google 快照抓取一些 2048buntu 頁面的圖片，但這沒有提供任何可用的信息。根據該軟體運行時間，多少系統安裝過，挖掘出了什麼加密貨幣，我們能否知道違規者獲取的是一點錢還是一筆錢。一個更長遠的問題是：Canonical 公司將來有能力捕捉到這樣的違規情況嗎？

這真的是一個惡意軟體嗎？

許多新聞網站將之報道為惡意軟體感染。我想我甚至可以看到這個事件被稱為 Linux 的第一個惡意軟體。我不確定這個術語是否精確。Dictionary.com 這樣定義 惡意軟體：「意圖損害計算機、移動設備、計算機系統或者計算機網路，或者對其運作進行部分控制的軟體」。

這個有問題的 snap 應用並沒有損害或者控制涉及到的計算機。它同樣沒有感染其他計算機。它也不能這樣做，因為所有的 snap 應用位於沙盒之中。它們最多利用了處理器的計算能力，就是這樣。所以，我不會稱之為惡意軟體。

無孔不入

Nicolas Tomb 使用的一個辯解是在他上傳應用的時候 Snap 應用商店沒有任何反對加密貨幣挖礦的規則。（我敢向你打賭他們正在糾正這個錯誤。）他們之所以沒有這樣的規則，原因很簡單，之前沒有人做過這種事。如果 Tomb 想正確地做事，他應該提前詢問是否允許這種行為。而事實是他似乎沒有指出他知道 Canonical 公司可能會拒絕的事實。至少，Canonical 公司會告訴他將這些寫在軟體的描述中。

一看就不對勁

如我之前說的，我從 Google 快照獲取了一個 2048buntu 的頁面截圖。僅僅看它就會感覺到一些危險的信號。首先，截圖中幾乎沒有真實的描述。它是這樣描述的「類似 2048 的遊戲。這個遊戲用 ubuntu 主題克隆了流行的遊戲 2048。」哇，這將會引來容易上當受騙的人。當我讀到類似空洞的描述時，我會多考慮下。

我注意到的另一件事是軟體的大小。2048buntu 的 1.0 版本大小將近 140 MB。一個簡單的遊戲怎麼需要這麼多的空間？有用 Javascript 寫的瀏覽器版本大概只用了不到它的四分之一。其他 snap 應用商店的 2048 遊戲的大小沒有一個達到了這個軟體的一半。

然後，它有個許可證。這是一個使用了 Ubuntu 主題的流行遊戲的克隆。它怎麼能被認為是專有軟體？我確信，其他合法的開發者會因為該內容而使用了 FOSS （自由開源軟體）許可證來上傳它。

單是這些因素就使得這個 snap 應用很特殊，應該進行審核。

誰是 Nicolas Tomb？

當第一次了解到這些之後，我決定看看我能否找出造成這些混亂的人。當我搜索 Nicolas Tomb 的時候，我什麼都沒找到。所有我找到的只是一大堆關於加密貨幣挖礦 snap 應用的新聞和文章，以及去 tomb of St. Nicolas 旅遊的信息。在 Twiter 和 Github 上都沒有 Nicolas Tomb 的標誌。看起來似乎是為了上傳這些 snap 應用才創建的名稱。

這同樣引出了 Canonical 公司發表的申明中的一點，關於驗證發布者。上一次我查看的時候，相當多的 snap 應用不是由應用的維護者發布的。這讓我感到擔憂。我更樂意相信由 Mozilla 基金會發布的 firefox 的 snap 應用，而不是 Leonard Borsch。如果對應用維護者來說關注應用的 snap 版本太耗費精力，應該有辦法讓維護者在他們軟體的 snap 版本上貼上批准的標籤。就像是 Firefox 的 snap 版本由 Fredrick 發布，經 Mozilla 基金會批准。這樣才能讓用戶對下載的內容更放心。

無疑 Snap 應用商店還有改善的空間

在我看來，Snap 應用商店團隊應該實現的第一個特性是報告可疑應用的方式。tarwirdur 必須找到該網站的 Github 頁面才行。而大多數用戶不會想到這一點。如果 Snap 應用商店不能審核每一行代碼，那麼使用戶能夠報告問題是退而求其次的辦法。即使評分系統也是一個不差的補充。我確信一定有部分人因為 2048buntu 使用了太多系統資源而給它很低的評分。

結論

從我所知道的情況來說，我認為這是某個人創建了一些簡單的應用，在每個應用中嵌入了加密貨幣礦工，之後將這些應用上傳到 Snap 應用商店，想著撈一筆錢。一旦他們被抓了，他們就聲稱這僅僅為了通過應用程序獲利。如果真的是這樣，他們應該在 snap 應用的描述中提到才對。隱藏加密礦工並不是什麼新鮮事。他們通常是一種盜取計算能力的方法。

我希望 Canonical 公司已經具備了解決這個問題的功能，盼望這些功能能很快出來。

你對 Snap 應用商店的「惡意軟體風波」有什麼看法？你將如何改善這種情況？請在下面的評論中告訴我們。

如果你覺得這篇文章有趣，請花費一點時間將它分享到社交媒體上。

via: https://itsfoss.com/snapstore-cryptocurrency-saga/

作者：John Paul 選題：lujun9972 譯者：paperzhang 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive