A Canonical divulgou um comunicado oficial sobre o uso de um malware em aplicativos da Snap Store que estaria realizando a mineração de criptomoedas sem o consentimento dos usuários. Na semana passada, descobriram que dois dos pacotes enviados pelo usuário Nicolas Tomb na Snap Store , 2048buntu e Hextris, mineravam criptomoedas em segundo plano enquanto os aplicativos estavam sendo executados sem o conhecimento do usuário. A Canonical removeu imediatamente os aplicativos.
De acordo com o comunicado, “a implicação prática disso é o uso excessivo de recursos locais no sistema de um usuário, muito além do que uma aplicação típica usaria, consumindo mais energia do que seria esperado”. De acordo com a Canonical, há uma troca de uma pequena quantidade de informações não pessoais e recursos computacionais. Os snaps afetados, diz a empresa, “serão republicados com conteúdo adequado por uma fonte confiável, mas isso levanta algumas questões interessantes que merecem ser discutidas”.
Maldade ou ingenuidade?
Um dos pontos polêmicos da nota questiona se o usuário acusado de infiltrar o malware nos aplicativos agiu de má fé, por ingenuidade ou se foi simplesmente uma atitude interessante por parte dele. A Canonical questiona se ele realmente fez algo de errado, considerando que a mineração de criptomoedas não é ilegal ou antiética.
Ainda de acordo com a nota, a pessoa acusada informou que o objetivo era monetizar o software publicado sob licenças que o permitissem, inconsciente das consequências sociais ou técnicas. Nicolas Tomb teria se comprometido a parar de fazer isso. Evidentemente, a grande questão é que os usuários que baixaram tais programas não foram informados sobre a mineração. Por esse motivo, os aplicativos foram retirados da loja. “Não existem regras contra a mineração de criptomoeda, mas os usuários desonestos são um problema”, afirma a empresa.
A Canonical destaca as vantagens dos pacotes snap inclusive em relação à segurança dos mesmos. A empresa afirma que segue os mesmos padrões de verificação de segurança implementados por outras lojas de aplicativos. Ela cita as lojas do IOS, Windows e Android.
Medidas de segurança
“A complexidade inerente do software significa que é impossível para um repositório de grande escala aceitar apenas software após cada arquivo individual ter sido revisado em detalhes. (…) pois nenhuma instituição pode revisar centenas de milhares de linhas de códigos de entrada todos os dias. Por causa disso, o modelo de confiança mais bem-sucedido baseia-se na origem do software, não em seu conteúdo. Em outras palavras, confie no editor em vez do aplicativo em si.”
A nota ressalta, também, que há “recursos muito interessantes em andamento que vão melhorar a segurança do sistema”. As melhorias vão beneficiar usuários que lidam com softwares em servidores e desktops.
[bs-quote quote=” …um recurso simples, mas bastante eficaz, no qual estamos trabalhando é a capacidade de sinalizar editores específicos como verificados. Os detalhes serão anunciados em breve, mas a ideia básica é que será mais fácil para os usuários identificarem que a pessoa ou organização que está publicando o snap é quem afirma ser. ” style=”style-17″ align=”center” author_name=”Ubuntu Blog ” author_job=”Canonical” author_link=”https://blog.ubuntu.com/2018/05/15/trust-and-security-in-the-snap-store”][/bs-quote]
A Canonical lamentou o episódio e disse que está levando a sério a segurança dos usuários. Afirma que continuará a observar a loja de perto e a melhorar a segurança da plaforma. Por fim, pede que eventuais problemas e correções sejam reportados no fórum do snapcraft.
