近几个月来,Ubuntu Linux发行版的容器化Snap应用程序发布地Snap商店一直受到试图窃取用户货币的虚假加密钱包的攻击。因此,Ubuntu母公司的工程师们现在开始对上传到该商店的应用程序进行人工审核,然后再将其提供给用户。这个举措是在Canonical/Ubuntu前Snapcraft团队员工艾伦-波普数周前的报告之后采取的,他目前仍活跃在生态系统中。今年2月,波普在博客中写道,一位比特币投资者因使用Snap商店中的"Exodus钱包"应用而损失了9个比特币(当时约合49万美元)。Exodus是一个众所周知的加密货币钱包,但这个钱包并非来自该实体。一位用户在Snapcraft论坛上详细描述了事情的经过,他输入了12个字的恢复短语(Exodus在支持页面上告诉你千万不要这么做)后,钱包立即将他的全部余额转到了一个未知地址。波普不厌其烦地指出,加密货币本身就存在损失风险。尽管如此,Ubuntu的应用中心(为桌面用户提供Snap Store)仍将"Exodus"应用标记为"安全",而网页版Snap Store则将Snaps描述为"可安全运行"。虽然Ubuntu将应用程序描述为"安全"的意义在于它是一个具有运行时限制(或"沙箱")的自动更新容器,但旁边带有"安全"字样的绿色复选标记可能会被误读,尤其是对于Ubuntu、Snaps和Linux的新用户来说。
不仅如此,Pope在文章中还指出,编写、打包Snap并上传到Ubuntu商店后,应用程序"可立即搜索,任何人几乎都可以在任何地方下载、安装和运行"(Pope的强调)。他指出,"循环中没有人类"。对于是否应完全禁止加密应用程序的相关话题,Ubuntu创始人、Canonical首席执行官马克-沙特尔沃思进行了回应。他写道,他承认加密货币在很大程度上是一个意图卑劣的粪坑,即使数学很有趣。在Ubuntu,"挑战自己"提供额外的安全措施是"公平的","即使它们永远不会完美"。他认为,让易受社会工程学影响的人更安全地使用应用程序是"一个非常困难的问题,但我认为我们可以而且应该解决这个问题"。不过,他并不同意广泛禁止加密货币应用程序。在沙特尔沃思所说的"过去几个月里与这些恶意行为者进行了一场无声的战争"之后,Snaps确实正在发生变化。在Snapcraft论坛上,Ubuntu的支持服务公司Canonical的产品负责人霍利-霍尔上周写道,新政策将对所有新的Snap注册进行人工审核。工程团队将对应用程序进行审查,并联系发布商核实名称和意图。被"怀疑为恶意或与加密钱包有关"的名称将被拒绝。霍尔写道,有关如何在Snap商店正确发布加密钱包的政策即将出台。正如《The Register》所指出的,另一个沙盒应用平台(商店)Flathub最近对其验证流程进行了相关修改。Flathub现在会标记那些对权限请求或软