Malware im Snap Store

Bild: Security | Quelle GotCredit | Lizenz: CC BY-2.0

Nachdem vor einigen Tagen Malware im Snap Store von Ubuntu in zwei Apps entdeckt und entfernt worden war, äußert sich nun Mark Shuttleworth ausführlich zu Crypto-Mining-Apps und zur Sicherheit des Snap Stores. Shuttleworth stellt eingangs klar, dass es im Snap Store keine Regel gibt, die Crypto-Mining-Apps verbietet und diese Apps auch weder juristisch noch moralisch verwerflich seien. Allerdings müsse der Anwender informiert werden, dass die entsprechende App im Hintergrund CPU-Ressourcen des Nutzer-PCs verwendet, um Cryptowährungen und somit Gewinn für den Autor der App zu generieren.

Nicolas Tomb, der Autor der beiden Snaps, die jeweils ein Spiel und den Code zum Crypto-Mining enthielten, hatte an keiner Stelle erwähnt, dass die App im Hintergrund Crypto-Mining betreibt. Im Gegenteil hatte er diese Funktionalität verschleiert und mit einer proprietären Lizenz den Einblick in den Code verhindert. Die entsprechenden Apps werden jetzt von vertrauenswürdiger Seite neu verpackt und wieder in den Snap Store eingestellt.

Sicherheit gewährleisten

Eine Herausforderung beim Betrieb eines Software-Repositories ist, sicherzustellen, dass die veröffentlichte Software tatsächlich nur das tut, was sie soll. In den klassischen Ubuntu-Repositories basiert die Software auf einer vertrauenswürdigen Infrastruktur, wo Pakete per Entwickler-Schlüssel abgesichert sind.  Snaps ermöglichen es Publishern, ihre Software über eine Vielzahl von Linux-Distributionen schneller an Benutzer zu verteilen, jedoch bei verminderter Kontrolle. Die meisten App-Stores bieten ein automatisches Review auf technische Funktionalität und zusätzlich eine manuelle Durchsicht auf verdächtige Komponenten. Laut Shuttleworth ist beides auch beim Ubuntu Snap Store der Fall.

Weiterhin meint Shuttleworth:

»Selbst dann ist es aufgrund der inhärenten Komplexität der Software unmöglich, dass ein großes Repository Software erst dann akzeptiert, wenn jede einzelne Datei im Detail geprüft wurde. Das gilt unabhängig davon, ob Quellcode verfügbar ist oder nicht, denn keine Institution kann es sich leisten, jeden Tag Hunderttausende von eingehenden Quelltextzeilen zu überprüfen. Aus diesem Grund basiert das erfolgreichste Vertrauensmodell auf der Herkunft der Software, nicht auf ihrem Inhalt. Mit anderen Worten, vertrauen Sie dem Herausgeber und nicht der Anwendung selbst.

Keine Ausreden zulässig

Der letzte Satz drückt aber genau das aus, was anscheinend im Snap Store bisher nicht angewendet wird. Shuttleworth verspricht im weiteren Text, die Sicherheit schrittweise zu erhöhen. Eine der Maßnahmen dazu soll die Verifizierung von vertrauenswürdigen Publishern sein. Snaps aus solchen Quellen sollen dann speziell als vertrauenswürdig ausgewiesen werden. Es bleibt abzuwarten, wie sich die Situation hier verbessert. Im Endeffekt kann sich aber Shuttleworh nicht reinwaschen, indem er sagt, es sei wegen der Komplexität nicht möglich, einen sicheren Snap Store zu betreiben. Wenn das nicht möglich ist, muss das Angebot so eingeschränkt werden, dass die Sicherheit gewährleistet werden kann oder der Laden sollte schließen.

Verwandte Themen

Ubuntus Snap-Store kompromittiert
views 68
Ubuntu Snap Store | Screenshot: ft   Der Ubuntu-Snap-Store war in letzter Zeit von Malware befallen. Einzelne Snaps waren mit Crypto-Minin...
Ubiquity NG: Neuer Installer für Ubuntu angeregt
views 27
Screenshot: ft   Mark Shuttleworth hat in einer Mail an die Ubuntu-Entwickler-Liste eine Diskussion über die Neugestaltung des Ubuntu-Inst...
Zstd-Komprimierung soll Ubuntu-Installation beschl...
views 6
Quelle: My Picture von Martin Postma Lizenz: CCBY-ND 2.0   Die mit Kernel 4.14 adaptierte Komprimierungstechnik Zstd wird derzeit bei Ubun...
Ubuntu 18.04 LTS erleichtert die Handhabung von Sn...
views 59
Screenshot: ft   Ubuntu 18.04 LTS »Bionic Beaver« soll als erste Ubuntu-Version neben dem herkömmlichen DEB-Format auch einige Pakete im n...
Ubuntu-Problem mit korruptem UEFI teilweise gelöst...
views 19
Bild: Canonical   Vor einer Woche berichteten wir über lahmgelegte Notebooks durch ein korrumpiertes UEFI, ausgelöst durch den Kernel von ...

Beitrag kommentieren