Ubuntus Snap-Store kompromittiert

Ubuntu Snap Store | Screenshot: ft

 

Der Ubuntu-Snap-Store war in letzter Zeit von Malware befallen. Einzelne Snaps waren mit Crypto-Mining-Malware versehen. Snaps können aus dem Store, aber auch direkt in Ubuntu und anderen Distributionen, die die anwendunge GNOME Software  verwenden, installiert werden. Dabei handelte es sich um alle von einem Nicolas Tomb hochgeladenen Snaps. Dazu zählten unter anderem Spiele wie 2048buntu und Hextris. Mittlerweile sind alle Snaps von Nicolas Tomb aus dem Snap-Store entfernt worden.

Vorwiegend Spiele

Tomb hatte teilweise proprietäre Lizenzen verwendet, um den Code nicht freigeben zu müssen und sich so vor Entdeckung zu schützen. So war das Snap zu 2048buntu, das auf dem Spiel 2048 basiert, mit einer solchen Lizenz versehen. Das Originalspiel unterliegt einer MIT-Lizenz, die es erlaubt, den Code nach Belieben frei oder proprietär zu verteilen, solange die Copyright-Vermerke erhalten bleiben.

Flatpak besser geschützt

Damit wird ein Problem beleuchtet, das besonders der Snap-Store aufweist. In Ubuntus Snap-Store kann jedermann ungeprüft selbst erstellte Snaps hochladen und so allen Anwendern zugänglich machen. Es wird lediglich ein automatisierter Test auf Funktionalität durchgeführt. Auf FlatHub dagegen durchläuft  jedes eingereichte Flatpak eine Überprüfung, wobei sichergestellt wird, dass das Paket die App Requirements erfüllt, bevor es für die Öffentlichkeit zugänglich gemacht wird. Allerdings sind auch hier bei proprietären Lizenzen der Überprüfung Grenzen gesetzt, was die Einsicht in den Quellcode angeht. Dabei stammen Flatpaks aber eher von vertrauenswürdigen Upstreams als aus dritter Hand.

Handlungsbedarf

Vom Prinzip her sind Snaps, Flatpaks und AppImages zunächst eine gute Idee, um Software mit nur einem Paket allen Linux-Distributionen zugänglich zu machen. Neben des Öfteren vorgebrachten Kritikpunkten ist einer der wichtigsten die Sicherheit. Es ist nicht einzusehen, warum die neuen Paketformate weniger abgesichert sein sollten als die herkömmlichen Formate DEB und RPM. Hier muss der Snap-Store kräftig aufholen und Versäumtes nachreichen.

Verwandte Themen

Mark Shuttleworth will Canonical verkaufen
views 935
Bild: old painted Ubuntu logo on wood planks | Quelle: blumblaum | Lizenz: CC BY 2.0 Mark Shuttleworth will Canonical nicht verkaufen - ...
Lubuntu 18.10 setzt auf LXQt
views 1.7k
Screenshot: ft Mit etwas Verspätung ist als letzte Ubuntu-Variante nun auch die insgesamt 15. Veröffentlichung von Lubuntu erschienen. W...
Ubuntu Snaps – das Sandbox-Modell
views 519
Bild: Sandbox | Quelle: Simon Law Lizenz: CC BY-SA 2.0  Canonical hat mit Ubuntu Snaps ein Paketformat entwickelt, das seine Vo...
Canonical äussert sich zu Malware im Snap Store
views 680
 Bild: Security | Quelle GotCredit | Lizenz: CC BY-2.0Nachdem vor einigen Tagen Malware im Snap Store von Ubuntu in zwei Apps entdeckt u...
Ubiquity NG: Neuer Installer für Ubuntu angeregt
views 212
Screenshot: ft Mark Shuttleworth hat in einer Mail an die Ubuntu-Entwickler-Liste eine Diskussion über die Neugestaltung des Ubuntu-Inst...

Beitrag kommentieren

Alle Kommentare
  • Tronde

    13.05.2018, 15:19 Uhr

    Hallo,

    kannst du noch eine Quelle für den kompromittierten Snap-Store nachliefern?

    LG
    Tronde

  • tuxnix

    13.05.2018, 17:53 Uhr

    “Es ist nicht einzusehen, warum die neuen Paketformate weniger abgesichert sein sollten als die herkömmlichen Formate DEB und RPM.”

    Bei den herkömmlichen Formaten besteht Vertrauen gegenüber den Paketbetreuern und reproduzierbare Builds sind hier auch schon die Regel.
    Bei Flathub Paketen wird entscheidend sein, wer für das Pakettieren zuständig ist und wer nicht.
    Ein LibreOffice direkt vom “Hersteller” wird so gut wie nie Beanstandungen haben.

    Bei kommerziell vertriebener Closed Source Software ist eine Überprüfung jedoch schon von vornherein ausgeschlossen und ein Shop in dem jeder Uploaden kann was er/sie will ist letztlich auch nicht kontrollierbar. Mit dem Paketformat selbst hat dies jedoch wenig zu tun.

  • Klaus Meier

    14.05.2018, 11:29 Uhr

    Also ich kann Snaps gar nichts abgewinnen. Genau dafür hat doch jede Distribution eine Paketverwaltung.

    Was sind denn die Argumente dafür?
    – Die benötigten Pakete sind in der Distribution nicht enthalten. Dann soll man sich halt eine vernünftige Distribution suchen.
    – Anwendungen benötigen verschiedene, inkompatible Versionen einer lib. Dafür gibt es Slots. Jedenfalls bei Gentoo.

    Wenn ich dann sehe, was da drin ist: VLC, Gimp…. Will mir doch keiner erzählen, dass es bislang nicht möglich war, sich das zu installieren. Firefox und Chromium gibt es ja jetzt auch als Snap. Die waren ja vor den Snaps unter Ubuntu nicht verfügbar.

    Zum einen ist es eine gewaltige Platzverschwendung, wenn jede Anwendung alles mitbringt und man dann bestimmte Libs 100 Mal auf der Platte hat. Warum hat man damals das dynamische Linken erfunden? Und dann fühle ich mich an Windows <= XP erinnert. Jede Anwendung brachte seine Libs mit. Hast ein Update von Office gemacht, hatte zur Folge, das ein Dutzend anderer Anwendungen nicht mehr funktionierten. Weil bei dem Update gleichzeitig das halbe OS ausgetauscht wurde. Und das soll jetzt bei Linux der Segen sein?

    Jede Distribution hat eine Paketverwaltung für so etwas. Und wenn die das nicht gebacken bekommt, dann ist die Distribution Peng.