ثغرة حرجة في Snap Store التابع لـ Canonical تسمح للمهاجمين بالاستيلاء على تطبيقات لينكس مهجورة بشراء نطاقات منتهية الصلاحية. يمكن لهذه الطريقة دفع تحديثات ضارة تلقائيًا إلى أنظمة المستخدمين. تم تسليط الضوء على المشكلة في تحليل من المهندس السابق في Canonical آلان بوب.
في عالم إدارة حزم لينكس مفتوح المصدر، ظهر عيب خفي ولكنه خطير في Snap Store، منصة Canonical لتوزيع تطبيقات أوبونتو. يستغل المهاجمون نطاقات منتهية الصلاحية المرتبطة بمشاريع مهجورة، مستخدمين إياها للسيطرة على حسابات الناشرين دون اختراق خوادم المتجر مباشرة. هذه التهديد 'نطاقات الزومبي' يحول النظام المبني على الثقة إلى متجه لتوزيع البرمجيات الضارة، كما تفصل في تقرير حديث من آلان بوب، المدير التنفيذي السابق للهندسة ومدافع المطورين في Canonical. كان تقرير سابق قد نسب العمل خطأً إلى دانييلي بروتشيدا، المدير الحالي للهندسة في Canonical، لكن التحليل والمنشور الأصلي في المدونة يعودان إلى بوب. نشر في 27 يناير 2026، تكشف النتائج عن كيفية تحول بيانات وصفية تنسيق التعبئة Snap، خاصة البريد الإلكتروني العام للاتصال في ملف snap.yaml، إلى نقطة ضعف. عندما يتخلى المطورون عن المشاريع، تنتهي صلاحية نطاقاتهم، مما يخلق فرصًا للأشخاص السيئين لتسجيلها بتكلفة منخفضة —غالبًا أقل من 10 دولارات— وإعداد معالجات بريد لاعتراض رموز إعادة تعيين كلمة المرور من Snap Store. مع تأمين الوصول إلى الحساب، يمكن للمهاجمين تحميل تحديثات ضارة تثبت بصمت عبر تحديثات الخلفية التلقائية للمنصة، مما قد يمنح امتيازات الروت أو يمكن أنشطة مثل تعدين العملات المشفرة وسرقة البيانات. هذا النهج يستولي على تطبيقات أصلية بدلاً من تقليدها عبر خطأ الطباعة، مما يزيد من المخاطر في بيئات المؤسسات التي تعتمد على Snaps للخوادم والسطوح المكتبية. عمل بوب يبرز الحاجز المنخفض لمثل هذه الهجمات، مع أدوات بسيطة متاحة لفحص المتجر بحثًا عن نطاقات عرضة للخطر. تستمر الثغرة بسبب عمليات التحقق الثابتة، حيث تبقى شارة 'ناشر موثق' حتى بعد تغيير ملكية النطاق، مما يقوض ثقة المستخدم. مشكلات مشابهة تؤثر على مستودعات مثل NPM وPyPI، لكن الارتباط المباشر لـ Snap بين البريد الإلكتروني العام واستعادة الحساب يجعلها عرضة بشكل خاص. أمر snap info يساعد المهاجمين أكثر بعرض تفاصيل الاتصال علنًا، مفضلاً الشفافية على الأمان. لمواجهة ذلك، يدعو الخبراء إلى التحقق المستمر من الناشرين وإخفاء عناوين البريد الإلكتروني، على الرغم من أن مثل هذه الإصلاحات ستتطلب إعادة هيكلة كبيرة للمنصة. حتى يتم حلها، يجب على المستخدمين التحقق يدويًا من مصادر البرمجيات، مما يقوض راحة التحديثات التلقائية. هذه الحالة توضح تحديات أوسع في تأمين سلاسل توريد البرمجيات، حيث تعتمد الهويات الرقمية على عوامل عادية مثل تجديد النطاقات.
