en En ny og sofistikert bølge av angrep svekker tilliten til Snap Store fra Canonical, fordi Alan Pope (tidligere ingeniør- og fellesskapssjef i selskapet) for noen dager siden avslørte en ny angrepsteknikk som skiller seg fra tradisjonelle metoder for distribusjon av skadelig programvare.
Nå nøyer ikke angripere seg lenger med å lage falske applikasjoner; de kaprer legitime utviklerkontoer ved å utnytte utløpet av e-postdomenene deres.
Angrepets utvikling: Fra bedrag til total etterligning
innenfor av de vanligste angrepene som ofte ble sett i Linux, brukte angriperne teknikker som typosquatting og logging pakkenavn som er veldig like de på populære applikasjoner, eller de ville gi ut ny programvare i håp om at en intetanende bruker ville installere den. Som svar, Canonical og diverse programvaredistributører svarte For å motvirke disse truslene ble det implementert manuelle kontroller for nye pakkenavn, noe som gjorde det vanskeligere for skadelig programvare å komme inn gjennom disse tradisjonelle kanalene. Den nye strategien oppdaget imidlertid av paven omgår disse filtrene fullstendig ved å utnytte omdømmet til allerede etablerte kontoer.
Modusen er like enkel som den er ødeleggende, fordi angriperne De sporer butikken i søk etter forlatte applikasjoner eller utviklere som har latt domenene sine utløpe nettsider tilknyttet registrerings-e-postadressene deres (for eksempel admin@forgottenproject.com). Når et mål er identifisert, De kjøper det utløpte domenet og aktiverer e-postadressen på nytt. elektronisk og be om tilbakestilling av passord i Snap Store. få tilgang til kontoenDe møter en profil som systemet anser som pålitelig, uten restriksjonene eller advarselsetikettene som gjelder for nye brukere.
Målet: Kryptovaluta-lommebøker og sensitive data
Når angriperne tar kontroll over kontoen, De slipper skadelige oppdateringer for eksisterende applikasjonerSiden programvaren allerede var publisert og godkjent, går disse oppdateringene ofte ubemerket hen av automatiske sikkerhetsfiltre. Hovedmålet med disse kampanjene ser ut til å være tyveri av kryptovalutaer. Pave har dokumentert hvordan disse modifiserte applikasjonene, som ofte utgir seg for å være lommebøker som Exodus eller Ledger Live, ber om brukernes gjenopprettingsfraser og sender legitimasjonen til servere kontrollert av angriperne, og tømmer dermed ofrenes kontoer i løpet av minutter.
I løpet av hans forskning med SnapScope, et verktøy han opprinnelig utviklet for å revidere sikkerheten til Snap-pakker, Pope oppdaget at mange av disse ondsinnede applikasjonene kommuniserer med Telegram-boter for å stramme inn stjålne data.Ved å analysere nettverkstrafikken til disse pakkene, var han i stand til å identifisere spesifikke chat-identifikatorer og brukernavn, noe som bekreftet at det står en organisert operasjon bak disse hendelsene, muligens fra Øst-Europa.
Denne angrepsvektoren avslører en kritisk sårbarhet i identitetshåndtering i programvarelagre. I motsetning til et direkte angrep på Canonicals servere, er dette et angrep på identitetsforsyningskjeden. Pope identifiserte spesifikke domener som ble ervervet av angripere med det ene formål å kapre kontoer.
Problemet Det er ikke eksklusivt for Snap Store; I fjor, pakkeindeksen Python (PyPI) sto overfor en identisk krise og måtte forebyggende blokkere mer enn 1800 e-postadresser knyttet til utløpte domener. Sikkerhetsmiljøet oppfordrer Canonical til å implementere lignende tiltak, som kontinuerlig verifisering av gyldigheten av e-postdomener eller obligatorisk tofaktorautentisering (2FA) for alle utgivere, noe som ville forhindre at enkel e-postkontroll er nok til å kapre en konto.
For sluttbrukere, Anbefalingen er klar, men ubehagelig, siden blind tillit til appbutikken ikke lenger er trygt.Dette gjelder spesielt når det gjelder finansiell programvare eller kryptovalutaer. Utviklerkontoens levetid er ikke lenger en garanti for sikkerhet, og det anbefales å laste ned denne typen kritiske applikasjoner direkte fra de offisielle leverandørenes nettsteder i stedet for å stole på systempakkebehandlere inntil strengere kontroller er implementert.
Fuente: https://blog.popey.com