Malware im Snap Store

Bild: Security | Quelle GotCredit | Lizenz: CC BY-2.0

Nachdem vor einigen Tagen Malware im Snap Store von Ubuntu in zwei Apps entdeckt und entfernt worden war, äußert sich nun Mark Shuttleworth ausführlich zu Crypto-Mining-Apps und zur Sicherheit des Snap Stores. Shuttleworth stellt eingangs klar, dass es im Snap Store keine Regel gibt, die Crypto-Mining-Apps verbietet und diese Apps auch weder juristisch noch moralisch verwerflich seien. Allerdings müsse der Anwender informiert werden, dass die entsprechende App im Hintergrund CPU-Ressourcen des Nutzer-PCs verwendet, um Cryptowährungen und somit Gewinn für den Autor der App zu generieren.

Nicolas Tomb, der Autor der beiden Snaps, die jeweils ein Spiel und den Code zum Crypto-Mining enthielten, hatte an keiner Stelle erwähnt, dass die App im Hintergrund Crypto-Mining betreibt. Im Gegenteil hatte er diese Funktionalität verschleiert und mit einer proprietären Lizenz den Einblick in den Code verhindert. Die entsprechenden Apps werden jetzt von vertrauenswürdiger Seite neu verpackt und wieder in den Snap Store eingestellt.

Sicherheit gewährleisten

Eine Herausforderung beim Betrieb eines Software-Repositories ist, sicherzustellen, dass die veröffentlichte Software tatsächlich nur das tut, was sie soll. In den klassischen Ubuntu-Repositories basiert die Software auf einer vertrauenswürdigen Infrastruktur, wo Pakete per Entwickler-Schlüssel abgesichert sind.  Snaps ermöglichen es Publishern, ihre Software über eine Vielzahl von Linux-Distributionen schneller an Benutzer zu verteilen, jedoch bei verminderter Kontrolle. Die meisten App-Stores bieten ein automatisches Review auf technische Funktionalität und zusätzlich eine manuelle Durchsicht auf verdächtige Komponenten. Laut Shuttleworth ist beides auch beim Ubuntu Snap Store der Fall.

Weiterhin meint Shuttleworth:

»Selbst dann ist es aufgrund der inhärenten Komplexität der Software unmöglich, dass ein großes Repository Software erst dann akzeptiert, wenn jede einzelne Datei im Detail geprüft wurde. Das gilt unabhängig davon, ob Quellcode verfügbar ist oder nicht, denn keine Institution kann es sich leisten, jeden Tag Hunderttausende von eingehenden Quelltextzeilen zu überprüfen. Aus diesem Grund basiert das erfolgreichste Vertrauensmodell auf der Herkunft der Software, nicht auf ihrem Inhalt. Mit anderen Worten, vertrauen Sie dem Herausgeber und nicht der Anwendung selbst.

Keine Ausreden zulässig

Der letzte Satz drückt aber genau das aus, was anscheinend im Snap Store bisher nicht angewendet wird. Shuttleworth verspricht im weiteren Text, die Sicherheit schrittweise zu erhöhen. Eine der Maßnahmen dazu soll die Verifizierung von vertrauenswürdigen Publishern sein. Snaps aus solchen Quellen sollen dann speziell als vertrauenswürdig ausgewiesen werden. Es bleibt abzuwarten, wie sich die Situation hier verbessert. Im Endeffekt kann sich aber Shuttleworh nicht reinwaschen, indem er sagt, es sei wegen der Komplexität nicht möglich, einen sicheren Snap Store zu betreiben. Wenn das nicht möglich ist, muss das Angebot so eingeschränkt werden, dass die Sicherheit gewährleistet werden kann oder der Laden sollte schließen.

Verwandte Themen

Lubuntu 18.10 setzt auf LXQt
views 260
Screenshot: ft   Mit etwas Verspätung ist als letzte Ubuntu-Variante nun auch die insgesamt 15. Veröffentlichung von Lubuntu erschienen. W...
Ubuntu 18.10 »Cosmic Cuttlefish« unaufgeregt stimm...
views 543
Screenshot: ft   Pünktlich wie immer hat Canonical mit Ubuntu 18.10 »Cosmic Cuttlefish« ein weiteres Release der Distribution auf den Weg ...
Ubuntu 16.04.5 LTS freigegeben
views 333
Screenshot: ft Mit Ubuntu 16.04.5 LTS »Xenial Xerus« hat Canonical das letzte Punkt-Release für die noch bis 2021 unterstützte Version von Ubuntu ...
Ubuntu-Fehler: Sperrbildschirm kann umgangen werde...
views 540
Bild: Security | Quelle GotCredit | Lizenz: CC BY-2.0   Hacker können Zugriff auf laufende Anwendungen auf einem Ubuntu-Rechner erhalten, ...
Ubuntus Snap-Store kompromittiert
views 228
Ubuntu Snap Store | Screenshot: ft   Der Ubuntu-Snap-Store war in letzter Zeit von Malware befallen. Einzelne Snaps waren mit Crypto-Minin...

Beitrag kommentieren