Ubuntu Snap Store | Screenshot: ft

 

Der Ubuntu-Snap-Store war in letzter Zeit von Malware befallen. Einzelne Snaps waren mit Crypto-Mining-Malware versehen. Snaps können aus dem Store, aber auch direkt in Ubuntu und anderen Distributionen, die die anwendunge GNOME Software  verwenden, installiert werden. Dabei handelte es sich um alle von einem Nicolas Tomb hochgeladenen Snaps. Dazu zählten unter anderem Spiele wie 2048buntu und Hextris. Mittlerweile sind alle Snaps von Nicolas Tomb aus dem Snap-Store entfernt worden.

Vorwiegend Spiele

Tomb hatte teilweise proprietäre Lizenzen verwendet, um den Code nicht freigeben zu müssen und sich so vor Entdeckung zu schützen. So war das Snap zu 2048buntu, das auf dem Spiel 2048 basiert, mit einer solchen Lizenz versehen. Das Originalspiel unterliegt einer MIT-Lizenz, die es erlaubt, den Code nach Belieben frei oder proprietär zu verteilen, solange die Copyright-Vermerke erhalten bleiben.

Flatpak besser geschützt

Damit wird ein Problem beleuchtet, das besonders der Snap-Store aufweist. In Ubuntus Snap-Store kann jedermann ungeprüft selbst erstellte Snaps hochladen und so allen Anwendern zugänglich machen. Es wird lediglich ein automatisierter Test auf Funktionalität durchgeführt. Auf FlatHub dagegen durchläuft  jedes eingereichte Flatpak eine Überprüfung, wobei sichergestellt wird, dass das Paket die App Requirements erfüllt, bevor es für die Öffentlichkeit zugänglich gemacht wird. Allerdings sind auch hier bei proprietären Lizenzen der Überprüfung Grenzen gesetzt, was die Einsicht in den Quellcode angeht. Dabei stammen Flatpaks aber eher von vertrauenswürdigen Upstreams als aus dritter Hand.

Handlungsbedarf

Vom Prinzip her sind Snaps, Flatpaks und AppImages zunächst eine gute Idee, um Software mit nur einem Paket allen Linux-Distributionen zugänglich zu machen. Neben des Öfteren vorgebrachten Kritikpunkten ist einer der wichtigsten die Sicherheit. Es ist nicht einzusehen, warum die neuen Paketformate weniger abgesichert sein sollten als die herkömmlichen Formate DEB und RPM. Hier muss der Snap-Store kräftig aufholen und Versäumtes nachreichen.

Verwandte Themen

Canonical äussert sich zu Malware im Snap Store
views 453
  Bild: Security | Quelle GotCredit | Lizenz: CC BY-2.0 Nachdem vor einigen Tagen Malware im Snap Store von Ubuntu in zwei Apps entdeckt u...
Ubiquity NG: Neuer Installer für Ubuntu angeregt
views 27
Screenshot: ft   Mark Shuttleworth hat in einer Mail an die Ubuntu-Entwickler-Liste eine Diskussion über die Neugestaltung des Ubuntu-Inst...
Flathub-Webseite im neuen Gewand
views 30
  Quelle: NeONBRAND auf Unsplash   Vor einem halben Jahr haben wir die Flathub-Webseite als zentrale Stelle zum Sammeln von Flatpa...
Zstd-Komprimierung soll Ubuntu-Installation beschl...
views 6
Quelle: My Picture von Martin Postma Lizenz: CCBY-ND 2.0   Die mit Kernel 4.14 adaptierte Komprimierungstechnik Zstd wird derzeit bei Ubun...
Ubuntu 18.04 LTS soll Snaps bringen
views 40
Screenshot: ft Wenn es nach dem Willen von Ubuntu-Entwickler Steve Langasek geht, soll Ubuntu 18.04 LTS »Bionic Beaver« als erste Ubuntu-Version n...

Beitrag kommentieren

Alle Kommentare
  • Tronde

    13.05.2018, 15:19 Uhr

    Hallo,

    kannst du noch eine Quelle für den kompromittierten Snap-Store nachliefern?

    LG
    Tronde

  • tuxnix

    13.05.2018, 17:53 Uhr

    „Es ist nicht einzusehen, warum die neuen Paketformate weniger abgesichert sein sollten als die herkömmlichen Formate DEB und RPM.“

    Bei den herkömmlichen Formaten besteht Vertrauen gegenüber den Paketbetreuern und reproduzierbare Builds sind hier auch schon die Regel.
    Bei Flathub Paketen wird entscheidend sein, wer für das Pakettieren zuständig ist und wer nicht.
    Ein LibreOffice direkt vom „Hersteller“ wird so gut wie nie Beanstandungen haben.

    Bei kommerziell vertriebener Closed Source Software ist eine Überprüfung jedoch schon von vornherein ausgeschlossen und ein Shop in dem jeder Uploaden kann was er/sie will ist letztlich auch nicht kontrollierbar. Mit dem Paketformat selbst hat dies jedoch wenig zu tun.

  • Klaus Meier

    14.05.2018, 11:29 Uhr

    Also ich kann Snaps gar nichts abgewinnen. Genau dafür hat doch jede Distribution eine Paketverwaltung.

    Was sind denn die Argumente dafür?
    – Die benötigten Pakete sind in der Distribution nicht enthalten. Dann soll man sich halt eine vernünftige Distribution suchen.
    – Anwendungen benötigen verschiedene, inkompatible Versionen einer lib. Dafür gibt es Slots. Jedenfalls bei Gentoo.

    Wenn ich dann sehe, was da drin ist: VLC, Gimp…. Will mir doch keiner erzählen, dass es bislang nicht möglich war, sich das zu installieren. Firefox und Chromium gibt es ja jetzt auch als Snap. Die waren ja vor den Snaps unter Ubuntu nicht verfügbar.

    Zum einen ist es eine gewaltige Platzverschwendung, wenn jede Anwendung alles mitbringt und man dann bestimmte Libs 100 Mal auf der Platte hat. Warum hat man damals das dynamische Linken erfunden? Und dann fühle ich mich an Windows <= XP erinnert. Jede Anwendung brachte seine Libs mit. Hast ein Update von Office gemacht, hatte zur Folge, das ein Dutzend anderer Anwendungen nicht mehr funktionierten. Weil bei dem Update gleichzeitig das halbe OS ausgetauscht wurde. Und das soll jetzt bei Linux der Segen sein?

    Jede Distribution hat eine Paketverwaltung für so etwas. Und wenn die das nicht gebacken bekommt, dann ist die Distribution Peng.

  • Canonical äussert sich zu Malware im Snap Store | linuxnews.de linuxnews.de

    16.05.2018, 14:37 Uhr

    […] vor einigen Tagen Malware im Snap Store von Ubuntu in zwei Apps entdeckt und entfernt worden war, äußert sich nun Mark […]