Ubuntus Snap-Store kompromittiert

Ubuntu Snap Store | Screenshot: ft

 

Der Ubuntu-Snap-Store war in letzter Zeit von Malware befallen. Einzelne Snaps waren mit Crypto-Mining-Malware versehen. Snaps können aus dem Store, aber auch direkt in Ubuntu und anderen Distributionen, die die anwendunge GNOME Software  verwenden, installiert werden. Dabei handelte es sich um alle von einem Nicolas Tomb hochgeladenen Snaps. Dazu zählten unter anderem Spiele wie 2048buntu und Hextris. Mittlerweile sind alle Snaps von Nicolas Tomb aus dem Snap-Store entfernt worden.

Vorwiegend Spiele

Tomb hatte teilweise proprietäre Lizenzen verwendet, um den Code nicht freigeben zu müssen und sich so vor Entdeckung zu schützen. So war das Snap zu 2048buntu, das auf dem Spiel 2048 basiert, mit einer solchen Lizenz versehen. Das Originalspiel unterliegt einer MIT-Lizenz, die es erlaubt, den Code nach Belieben frei oder proprietär zu verteilen, solange die Copyright-Vermerke erhalten bleiben.

Flatpak besser geschützt

Damit wird ein Problem beleuchtet, das besonders der Snap-Store aufweist. In Ubuntus Snap-Store kann jedermann ungeprüft selbst erstellte Snaps hochladen und so allen Anwendern zugänglich machen. Es wird lediglich ein automatisierter Test auf Funktionalität durchgeführt. Auf FlatHub dagegen durchläuft  jedes eingereichte Flatpak eine Überprüfung, wobei sichergestellt wird, dass das Paket die App Requirements erfüllt, bevor es für die Öffentlichkeit zugänglich gemacht wird. Allerdings sind auch hier bei proprietären Lizenzen der Überprüfung Grenzen gesetzt, was die Einsicht in den Quellcode angeht. Dabei stammen Flatpaks aber eher von vertrauenswürdigen Upstreams als aus dritter Hand.

Handlungsbedarf

Vom Prinzip her sind Snaps, Flatpaks und AppImages zunächst eine gute Idee, um Software mit nur einem Paket allen Linux-Distributionen zugänglich zu machen. Neben des Öfteren vorgebrachten Kritikpunkten ist einer der wichtigsten die Sicherheit. Es ist nicht einzusehen, warum die neuen Paketformate weniger abgesichert sein sollten als die herkömmlichen Formate DEB und RPM. Hier muss der Snap-Store kräftig aufholen und Versäumtes nachreichen.

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
4 Kommentare
Most Voted
Newest Oldest
Inline Feedbacks
View all comments