在 Ubuntu Snap 應用商店上發現的加密貨幣 ‘惡意軟體’ 是怎麼回事？ | Linux 中國

最近，有發現稱一些 Ubuntu Snap 應用商店上的應用包含加密貨幣挖礦程式。Canonical 公司迅速下架了這些違規的應用，但是留下了幾個有待回答的問題。

在 Snap 應用商店上發現了加密礦工

5 月 11 號，一位名叫 tarwirdur 的使用者在 snapcraft.io repository[2] 開了一個新的工單 ，他提到一個由 Nicolas Tomb 開發，叫做 2048buntu 的 snap 應用包含加密貨幣礦工。tarwirdur 詢問，他怎樣才能出於安全的原因而“投訴該應用” 。tarwirdur 後來發表說其它由 Nicolas Tomb 開發的 snap 應用也都包含加密貨幣礦工。

看起來該 snap 應用使用了 systemd 在系統啟動時自動地執行程式碼，併在使用者不知情的情況下在後臺執行。

對那些不熟悉相關術語的人來說，加密貨幣cryptocurrency礦工miner是一段使用計算機的主處理器或者圖形處理器來“挖掘”數字貨幣的程式。“挖礦”通常涉及到解決一個數學等式。在這種情況下，如果你在執行 2048buntu 遊戲，這個遊戲將會額外使用處理器的計算能力去進行加密貨幣的挖掘。

Snapcraft 團隊迅速地下架了所有由該違規者開發的應用來做出回應。他們同時也開展了調查。

隱匿者發聲

5 月 13 號，一位同名為 Nicolas Tomb 的 Disqus 使用者在 OMGUbuntu 的新聞報道上發表了評論[3]，他在評論中稱自己向 snap 應用中添加了加密貨幣礦工，從而獲取收益。他為他的行為道歉，同時承諾將所有挖礦所得的收益送給 Ubuntu 基金會。

我們不能確認這個評論就是由 Nicolas Tomb 發表的，因為這個 Disqus 賬戶最近才被建立，也只有一條評論與之相關聯。現在，我們假設他是。

Canonical 公司發表了宣告

5 月 15 號，Canonical 公司在這種情況下發表了一份宣告。標題為 “在 Snap 應用商店中的信任與安全”[4]，宣告開頭重申了當下的情況。他們也補充道重新釋出的 snap 應用中已經被刪除了加密貨幣挖礦程式[5]。

Canonical 公司隨後嘗試調查 Nicolas Tomb 的動機。他們指出，他告訴他們說自己這樣做是為了透過應用賺錢（如上所訴），而當面對質疑時就停止了。他們也指出“挖掘加密貨幣本身並非不合法和不道德的”。然而，他們仍對他沒有在 snap 應用描述中披露加密礦工這件事表示了不滿意。

隨後 Canonical 公司將話題轉移到審核軟體上。根據這份申明，Snap 應用商店將會採用一種類似 iOS、Android、Windows 的質量控制系統，這個系統將有“自動化的檢查點，安裝包必須在被接受前透過檢查，同時在特殊問題被標記時會進行人工審核”。

然後，Canonical 公司聲稱“對大規模的軟體倉庫來說，只接受每個單獨檔案都被仔細審核過的軟體是不可能的”。因此，他們需要信任軟體源而不是內容。畢竟，軟體源是現在 Ubuntu 軟體倉庫系統的基礎。

Canonical 公司緊接著談到了 Snap 應用的未來。他們承認現在的系統是不完美的。他們也在不斷地進行改善。他們“在開發非常有趣的安全功能，這些功能將會在改善系統安全性同時提升人們在伺服器或桌面上進行軟體開發的體驗”。

其中一個他們正在開發的功能是檢視一個軟體釋出者是否已透過驗證。其他的改進包括：“將所有 AppArmor 核心補丁遞交到上游”和其它底層修複。

一些關於“Snap 應用商店中的惡意軟體”的想法

基於我所瞭解的所有內容，我產生了一些想法和問題。

這種挖礦軟體執行多久了？

首先，這些挖礦軟體存在於 Snap 應用商店多久了？因為它們已經被下架了，我們沒有這樣的資料。我可以透過 Google 快照抓取一些 2048buntu 頁面的圖片，但這沒有提供任何可用的資訊。根據該軟體執行時間，多少系統安裝過，挖掘出了什麼加密貨幣，我們能否知道違規者獲取的是一點錢還是一筆錢。一個更長遠的問題是：Canonical 公司將來有能力捕捉到這樣的違規情況嗎？

這真的是一個惡意軟體嗎？

許多新聞網站將之報道為惡意軟體感染。我想我甚至可以看到這個事件被稱為 Linux 的第一個惡意軟體。我不確定這個術語是否精確。Dictionary.com 這樣定義 惡意軟體[6]：“意圖損害計算機、移動裝置、計算機系統或者計算機網路，或者對其運作進行部分控制的軟體”。

這個有問題的 snap 應用並沒有損害或者控制涉及到的計算機。它同樣沒有感染其他計算機。它也不能這樣做，因為所有的 snap 應用位於沙盒之中。它們最多利用了處理器的計算能力，就是這樣。所以，我不會稱之為惡意軟體。

無孔不入

Nicolas Tomb 使用的一個辯解是在他上傳應用的時候 Snap 應用商店沒有任何反對加密貨幣挖礦的規則。（我敢向你打賭他們正在糾正這個錯誤。）他們之所以沒有這樣的規則，原因很簡單，之前沒有人做過這種事。如果 Tomb 想正確地做事，他應該提前詢問是否允許這種行為。而事實是他似乎沒有指出他知道 Canonical 公司可能會拒絕的事實。至少，Canonical 公司會告訴他將這些寫在軟體的描述中。

一看就不對勁

如我之前說的，我從 Google 快照獲取了一個 2048buntu 的頁面截圖。僅僅看它就會感覺到一些危險的訊號。首先，截圖中幾乎沒有真實的描述。它是這樣描述的“類似 2048 的遊戲。這個遊戲用 ubuntu 主題克隆了流行的遊戲 2048。”哇，這將會引來容易上當受騙的人。當我讀到類似空洞的描述時，我會多考慮下。

我註意到的另一件事是軟體的大小。2048buntu 的 1.0 版本大小將近 140 MB。一個簡單的遊戲怎麼需要這麼多的空間？有用 Javascript 寫的瀏覽器版本大概只用了不到它的四分之一。其他 snap 應用商店的 2048 遊戲的大小沒有一個達到了這個軟體的一半。

然後，它有個許可證。這是一個使用了 Ubuntu 主題的流行遊戲的克隆。它怎麼能被認為是專有軟體？我確信，其他合法的開發者會因為該內容而使用了 FOSS （自由開源軟體）許可證來上傳它。

單是這些因素就使得這個 snap 應用很特殊，應該進行審核。

誰是 Nicolas Tomb？

當第一次瞭解到這些之後，我決定看看我能否找出造成這些混亂的人。當我搜索 Nicolas Tomb 的時候，我什麼都沒找到。所有我找到的只是一大堆關於加密貨幣挖礦 snap 應用的新聞和文章，以及去 tomb of St. Nicolas 旅遊的資訊。在 Twiter 和 Github 上都沒有 Nicolas Tomb 的標誌。看起來似乎是為了上傳這些 snap 應用才建立的名稱。

這同樣引出了 Canonical 公司發表的申明中的一點，關於驗證釋出者。上一次我檢視的時候，相當多的 snap 應用不是由應用的維護者釋出的。這讓我感到擔憂。我更樂意相信由 Mozilla 基金會釋出的 firefox 的 snap 應用，而不是 Leonard Borsch。如果對應用維護者來說關註應用的 snap 版本太耗費精力，應該有辦法讓維護者在他們軟體的 snap 版本上貼上批准的標簽。就像是 Firefox 的 snap 版本由 Fredrick 釋出，經 Mozilla 基金會批准。這樣才能讓使用者對下載的內容更放心。

無疑 Snap 應用商店還有改善的空間

在我看來，Snap 應用商店團隊應該實現的第一個特性是報告可疑應用的方式。tarwirdur 必須找到該網站的 Github 頁面才行。而大多數使用者不會想到這一點。如果 Snap 應用商店不能審核每一行程式碼，那麼使使用者能夠報告問題是退而求其次的辦法。即使評分系統也是一個不差的補充。我確信一定有部分人因為 2048buntu 使用了太多系統資源而給它很低的評分。

結論

從我所知道的情況來說，我認為這是某個人建立了一些簡單的應用，在每個應用中嵌入了加密貨幣礦工，之後將這些應用上傳到 Snap 應用商店，想著撈一筆錢。一旦他們被抓了，他們就聲稱這僅僅為了透過應用程式獲利。如果真的是這樣，他們應該在 snap 應用的描述中提到才對。隱藏加密礦工並不是什麼新鮮事[7]。他們通常是一種盜取計算能力的方法。

我希望 Canonical 公司已經具備瞭解決這個問題的功能，盼望這些功能能很快出來。

你對 Snap 應用商店的“惡意軟體風波”有什麼看法？你將如何改善這種情況？請在下麵的評論中告訴我們。

如果你覺得這篇文章有趣，請花費一點時間將它分享到社交媒體上。

via: https://itsfoss.com/snapstore-cryptocurrency-saga/

作者：John Paul[9] 選題：lujun9972 譯者：paperzhang 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出