Ivan JAKIĆ

28. mart 2024.

Izolovane aplikacije, pakovane u kontejnere iz bezbednosnih i praktičnih razloga, dokazale su se manje bezbednim nego očekivano, bar u Snap prodavnici. Snap pakete Ubuntu pokušava uporno da „progura” kao najbolje rešenje, budućnost kompajlovanja i instaliranja samostalnih aplikacija, uprkos konstantnoj kritici od strane korisnika. Prethodnih nekoliko meseci je napravilo još više posla programerima sa obe strane snapa. Programeri sada uz otežane uslove i usporenim tempom objavljuju aplikacije na store, dok su inženjeri kompanije Canonical primorani da „ručno” proveravaju svaku aplikaciju poslatu na servere prodavnice, pre nego što je odobre.

Istragu je započeo bivši, ali još uvek aktivni član Snapcraft tima, Alan Poup (Pope). Na njegovom blogu je prethodnog meseca objavljena tema koja razrađuje priču bitcoin investitora na gubitku usled korišćenja aplikacije Exodus Wallet, preuzete sa Snap prodavnice. Investitor je lišen devet digitalnih novčića (oko 490 hiljada dolara). Exodus je, inače, veoma poznat i priznat „novčanik” za kripto–valute, međutim problematična aplikacija je bila uspešan plagijat. Snapcraft forum nam je pružio odgovor na pitanje kako — novčanik je momentalno izršio transfer sredstava na nepoznatu adresu nakon korisnikovog unosa dvanaestocifrene fraze. Radnja koju originalni Exodus putem zvanične stranice za podršku ne preporučuje, nikada.

Igra koja sa sobom neminovno nosi rizik gubitka usled prevare, kripto–biznis se uvlači i u sfere smatrane bezbednim. App Center predstavlja desktop verziju Snap prodavnice i garanciju za kvalitet, a Exodus je na obe platforme, desktop i veb, imao epitet sigurne aplikacije. Safe tag Ubuntu interpretira drugačije od logičnih očekivanja korisnika, te automatski ažurirajući kontejner sa ograničenim izvršavanjem u toku rada ne znači isto što i „slobodno instalirajte aplikaciju”. Zeleni check mark simbol je, pogotovo za novajlije u Linux svetu, poslužio kao mamac. U trenutku kada aplikacija „završi” na Snap prodavnici, momentalno je dostpuna „svima, svuda, odjednom” za preuzimanje i pokretanje. Čitava petlja, od pisanja programa do preuzimanja, ne sadrži pronicljivo ljudsko QA „oko”.

Izvršni direktor kompanije Canonical je saglasan sa tvrdnjom da su kripto–aplikacije neplemenita tvorevina, ali naglašava značaj ljudske zastupljenosti u procesu sprovođenja dodatnih mera bezbednosti. Najteže jeste obezbediti ljude eksploatisane socijalnim inženjeringom. Potpuna zabrana potencijalno malicioznih aplikacija, ipak, neće biti nametnuta.

Posledica „krađe” jeste nova politika kompanije, predstavljena prethodne nedelje, a stupa u praksu danas. Inženjerski timovi će „češljati” aplikacije i kontaktirati programere u cilju utvrđivanja identiteta i namere. Druga platforma za isporuku „upakovanih” programa, Flathub, je nedavno preduzela korake poboljšanja procesa validacije označavanjem aplikacija koje su imale nagle promene u potraživanju dozvola od korisnika. Sumnjivi nazivi su stavljeni u isti flag, jer su odavno poznati problemi dodavanja zlonamernih „blizanaca” proverenih aplikacija.