Teknoloji

Ubuntu'nun Snap Store Güvenlik Sorunları ve Yanıtları

Ubuntu’nun Snap Mağazası, Ubuntu Linux dağıtımı için konteynerleştirilmiş Snap uygulamalarının dağıtıldığı bir platform olarak hizmet vermektedir. Ancak son aylarda platform, kullanıcıların kripto paralarını çalmayı amaçlayan sahte cüzdan uygulamalarının saldırısına uğramıştır. Bunun sonucunda Ubuntu’nun ana firması tarafından, uygulamaların mağazaya yüklendikten sonra manuel olarak incelenmesi kararı alınmıştır.

Bu karar, Snap Store'u yakından takip eden ve hala ekosistemde çok aktif olan eski bir Canonical/Ubuntu çalışanı olan Alan Pope'un haftalarca süren raporlamaları sonrasında alınmıştır. Şubat ayında Pope'un blogunda yayınlanan bir haberde, bir Bitcoin yatırımcısının Snap Mağazası'ndan indirdiği "Exodus Wallet" uygulaması ile dokuz Bitcoin'ini (o zamanlar yaklaşık 490.000 dolar) kaybettiği anlatılmaktadır. Exodus, bilinen bir kripto para cüzdanıdır ancak bu durumda indirilen uygulamanın orijinal Exodus tarafından geliştirilmediği ortaya çıkmıştır. Bir kullanıcının Snapcraft forumlarında anlattığına göre, cüzdanın 12 kelimelik kurtarma ifadesi girildikten hemen sonra bakiyesinin tamamı bilinmeyen bir adrese transfer edilmiştir.

Pope, kripto paraların inherent olarak riskli olduğunu vurgulamıştır. Ancak Ubuntu'nun App Merkezi, masaüstü kullanıcıları için Snap Store'u sunarken "Exodus" uygulamasını "Güvenli" olarak işaretlemiş ve Snap Mağazası'nın web sürümü de Snaps uygulamalarını "güvenli olarak çalıştırılabilir" olarak tanımlamıştır. Ubuntu, uygulamaları "güvenli" olarak tanımlarken auto updating konteynerlerle çalışan ve çalışma zamanı kısıtlamaları (ya da "sandboxed") olan uygulamaları kastetmektedir. Ancak "Güvenli" yanında yeşil bir onay işareti bulunması, özellikle Ubuntu, Snaps ve genel olarak Linux konusunda yeni olanlar için yanıltıcı olabilir.

Pope'un yazısında dikkat çektiği bir diğer konu ise Snap Mağazası'na yazılım paketlemek ve yüklemek sonucunda ortaya çıkan uygulamanın hemen hemen herkesin hemen hemen her yerden hemen hemen herhangi bir cihaza indirilebilir ve çalıştırılabilir olmasıdır. Pope’un vurguladığı gibi, bu süreçte insan kontrolüne yer yoktur.

Ubuntu'nun kurucusu ve Canonical'ın CEO'su Mark Shuttleworth, kripto uygulamalarının genel olarak yasaklanmasıyla ilgili bir tartışma üzerine ilgili bir konuya yanıt vermiştir. Shuttleworth, "Matematik ilginç olsa da, kripto paraların büyük ölçüde utanç verici niyetlerin bir çöplüğü olduğuna katıldığını" belirtmiştir. Ubuntu'da, ek güvenlik önlemleri sunma konusunda kendilerini zorlamalarının adil olduğunu düşündüğünü belirtmiş ve sosyal mühendislik saldırılarına maruz kalan insanlar için uygulamaları daha güvenli hale getirmenin "çok zor bir sorun" olduğunu ancak bu konuda çalışmalar yapılması gerektiğini ifade etmiştir.

Öte yandan, Shuttleworth genel olarak kripto uygulamalarının yasaklanması fikrine katılmadığını belirtmiştir.

Shuttleworth, "Bu kötü niyetli aktörlerle sakin bir savaşın birkaç aydır devam ettiğini" ifade etmiş ve Snap'lerin değişmekte olduğunu belirtmiştir.

Snapcraft forumlarında Canonical'ın destek servisleri şirketi Ubuntu'nun ürün lideri Holly Hall, yeni Snap kayıtları için tüm uygulamaların manuel olarak inceleneceğine dair bir politika değişikliğini duyurmuştur. Mühendislik ekipleri, uygulamaları inceleyecek ve yayıncılarla iletişime geçerek isim ve niyetlerini doğrulayacaktır. "Şüpheli olarak görülen veya kripto cüzdanıyla ilişkili olduğu düşünülen" bir isim reddedilecektir. Kripto cüzdanlarının Snap Mağazası'nda nasıl yayınlanması... İstekleri ile ilgili bir politika yakında duyurulacaktır.

The Register'ın belirttiği gibi, farklı bir sandboxed uygulama platformu olan Flathub, izin taleplerinde veya paket isimlerinde önemli değişiklikler yapmış uygulamaları işaretlemekte ve onay sürecini bunlara göre şekillendirmektedir. Açık yazılım depoları uzun süredir kötü niyetli benzer yüklemelerle uğraşmaktadır, buna Python programlama için PyPI endeksi örnek verilebilir.

Paylaş: