广大Ubuntu Snap使用户要当心了，在Ubuntu Snap商城发现了挖矿代码

英文：John Paul，翻译：Linux中国/paperzhang

linux.cn/article-9686-1.html

最近发现，Ubuntu SNAP应使用商店中的少量应使用包含加密货币的挖掘过程。Canonical 公司迅速下架了这些违规的应使用，但留下了几个有待处理的问题。

在 Snap 应使用商店上发现了加密矿工

5月11日，一个名为TaWrrdUr的使用户在SnAPCRAF.IO知识库中打开了一个新的工作列表。他提到了一个由Nicolas Tomb开发的SNAP应使用程序，名为2048 Buntuu，包括加密的货币矿工。TaWrrdUr问他如何“出于安全起因抱怨申请”。TaWrrdUr后来说，尼古拉斯墓开发的其余SNAP应使用程序也包含加密的货币矿工。

看来，SNAP应使用程序用StReD在系统启动时自动运行代码，并且在后端运行而不需要使用户的知识。

对于那些不熟习相关术语的人来说，加密货币采掘者是一个用计算机的主解决器或者图形解决器来“挖掘”数字货币的程序。采矿通常包括求解一个数学方程。在这种情况下，假如你正在运行2048 BunTU游戏，这个游戏将用解决器的计算能力来加密货币。

Snapcraft团队迅速响应了违禁者开发的所有应使用程序。他们还进行了一项调查。

神秘的声音

5月13日，一位名为Nicolas Tomb的DISQUS使用户在OMGUBUTU新闻报道中评论说，他向一个SNAP应使用程序增加了一个加密的货币矿工以取得收入。他为自己的行为道歉，并承诺将矿业的一律利润交给Ubuntu基金会。

我们无法证明尼古拉斯墓发表的评论是由于最近创立了DISQUS账户，只有一个评论与之相关。现在，我们假设他是。

规范发表公告

5月15日，规范在这种情况下发表了一份公告。标题是“SNAP应使用程序商店中的信任和安全”。公告首先重申了当前形势。他们还补充说，新发布的SNAP应使用程序已经从加密货币的挖掘过程中删除。

随后对尼古拉斯墓的动机进行了典型的考察。他们指出，他告诉他们，他们这样做是为了通过应使用赚钱（如上所述），当遇到疑虑时中止。他们还指出，“挖掘加密货币本身并不违法和不道德”。然而，他们依然不满意的事实是，他没有在加密应使用程序形容中公开加密的矿工。

而后将话题转移到审计软件上。根据这个公告，SNAP应使用商店将采使用相似于IOS、Android和Windows的质量控制系统。该系统将有“自动检查点”，安装包必需在被接受之前检查，并在特殊问题被标记时将被手动检查。

而后，Canonical 公司宣称“对大规模的软件仓库来说，只接受每个单独文件都被仔细审核过的软件是不可能的”。因而，他们需要信任软件源而不是内容。毕竟，软件源是现在 Ubuntu 软件仓库系统的基础。

规范公司立即谈论了SNAP应使用的未来。他们承认现行制度是不完善的。他们在不断改进。他们正在开发非常有趣的安全特性，这将提高系统安全性，同时改进在服务器或者桌面上开发软件的经验。

他们正在开发的功能之一是查看软件发行商能否已经通过验证。其余改进包括：“将所有的Apvor内核补丁带到上游”和其余底层修复。

关于SNAP应使用程序商店恶意软件的几点思考

基于我所知道的，我有少量想法和问题。

这个挖掘软件运行了多长时间？

首先，这些挖掘软件在SNAP应使用程序商店中存在多长时间？由于它们已经过时了，我们没有这样的数据。我可以通过谷歌快照获取2048个BunTU页面的图片，但是这并不能提供任何可使用的信息。根据软件的运行时间，安装了多少系统，哪些加密的钱被挖掘出来，我们能知道违规者能否得到了一点钱或者一笔钱。一个更长远的问题是：规范公司是否在将来抓住这种违规行为？

这真的是恶意软件吗？

许多新闻网站报告恶意软件感染。我想我甚至可以看到这个事件被称为Linux的第一个恶意软件。我不确定这个词能否精确。DigStudio.com定义恶意软件是“一种旨在破坏计算机、移动设施、计算机系统或者计算机网络的软件，或者是对其操作的部分控制”。

这个有问题的SNAP应使用程序不会损坏或者控制所涉及的计算机。它也不会感染其余电脑。它也不能做到这一点，由于所有的SNAP应使用程序都位于沙盒中。他们最多用解决器的计算能力，仅此而已。所以，我不会称之为恶意软件。

遍地开花

Nicolas Tomb的一个借口是，在应使用程序上传时，SNAP应使用程序商店没有任何规则禁止用加密的钱进行挖掘。我敢打赌，他们正在纠正这个错误。他们没有这样的规则的起因很简单。以前没有人做过这样的事。假如坟墓想做正确的事，他应该事前讯问他能否允许这种行为。事实上，他似乎并没有指出，他知道规范公司可能会拒绝的事实。至少，规范会告诉他把这些写在软件的形容中。

看着它是不对的。