Skype für Debian

Photo by Anas Alshanti on Unsplash

 

Der IT-Berater Enrico Weigelt hat ein Sicherheitsproblem bei der Installation von Microsofts Microsofts Skype-Paket für Debian und seine Derivate entdeckt. Das ermöglicht unter Umständen das Einschmuggeln von bösartigen Paketen bis hin zur kompletten Übernahme des Rechners.

Ungefragter Eintrag

Das Paket schreibt bei der Installation ungefragt den Eintrag https://repo.skype.com/deb stable main in die sources.list und ermöglicht damit die Aktualisierung des Pakets durch Microsoft. Das dabei entstehende Problem ist, dass Microsoft oder jemand, der den entsprechenden privaten Apt-Repository-Schlüssel hat, freie Hand hat, unbemerkt bösartige Pakete zu installieren.

Canonical-Mitarbeiter Seth Arnold weist auf weiteres Gefahrenpotenzial hin, wenn er anmerkt, dass durch die Tatsache, dass viele an einer Paketinstallation unter Debian beteiligte Scripte mit vollen Root-Rechten laufen, Microsoft oder andere Dritte einen Rechner komplett übernehmen könnten.

Nichts Neues

Warum Weigelt jetzt das Skype-Paket als unsicher anmahnt, erschließt sich nicht ganz, denn das nicht tolerierbare ungefragte Eintragen in die Quellenliste bei der Installation von Drittanbieter-Paketen in Debian ist nichts Neues. Googles Browser Chrome tut das schon immer, ebenso wie Vivaldi und andere. Dass das nicht sein muss, zeigt Hersteller Opera, der während der Installation nachfragt, ob der Eintrag gewünscht ist.

Reale Gefahr

Ob man nun Google mehr vertraut als Microsoft oder anderen Softwareschmieden bleibt jedem selbst überlassen. Aber selbst wenn dort kein böser Wille unterstellt wird, wäre es nicht das erste Mal, dass böswillige Hacker sich Firmengeheimnisse beschaffen. Ich denke dabei etwa an die mit einer Backdoor versehenen gefälschten Images bei Mint Linux im Februar. Die Gefahr, die Weigelt hier beschreibt, ist also durchaus real.

Schaden verhindern

Er beschreibt deshalb einige Maßnahmen, um die Gefahr zu bannen. Dazu zählt das Entfernen des Eintrags aus der Quellenliste ebenso wie das Kompilieren des Pakets ohne die Routine zum Erstellen des Eintrags. Darüber hinaus lässt sich das Paket per Apt-Pinning darauf festnageln, lediglich skypeforlinux zu aktualisieren. Schließlich sieht Weigert noch die Möglichkeit, das Paket via Docker oder LXC in einen Container zu sperren.

Abgeschottet

Wenn Alternativen zu Skype nicht in Frage kommen, sehe die Installation von Skype per Flatpak als die bessere Lösung an, da hier die Anwendung bereits durch die Sandbox limitiert ist und beim Aktualisieren keine Möglichkeit besteht, Schaden außerhalb des Pakets anzurichten. Ubuntu-Anwender bevorzugen hier eventuell das Snap von Skype.

Verwandte Themen

Debian GNU Linux wird 25
views 405
Quelle: Debian   SUSE feierte vor rund einem Jahr den 25. Geburtstag, Slackware blickte vor wenigen Wochen auf ein Vierteljahrhundert Entw...
Debian plant Rolling Release
views 2.2k
Debian | Quelle: Mohd Sohail Lizenz: CC-BY-SA-2.0   Einige große Distributionen befinden sich seit geraumer Zeit im Umbau, um auf veränder...
Debian diskutiert neue Herausforderungen in einem ...
views 177
  Logo: Mohd Sohail Lizenz: CC BY 2.0 Auf der Debian-Entwickler-Mailing-Liste wird seit einigen Tagen in dem Thread What can Debian do to ...
Skype auch unter Linux angreifbar
views 45
Logo: Microsoft Lizenz: Public Domain   In den aktuellen Versionen des Instant-Messaging-Dienstes Skype für Linux, macOS und Windows schlu...
Debian diskutiert erneut über Freie Software
views 173
Screenshot: ft   Seit einigen Tagen herrscht bei Debian eine rege Diskussion über ausschließlich Freie Software auf den Distributionsmedie...

Beitrag kommentieren

Alle Kommentare
  • Nick

    03.10.2018, 16:22 Uhr

    Mir ist unbegreiflich wie so man so eine widerliche Bloatware überhaupt installiert. Mal vom Umstand abgesehen, dass proprietäre Software unter Debian ab Werk, nicht auf einfachem Wege installiert werden kann. Und auch wenn es viele Wege gäbe sich davor zu schützen, sollte man lieber klug handeln und proprietären Dreck vom System fern halten. Das ist und wird immer eine Gefahr bleiben. Auch Steam hat sich diesbezüglich schon tolles geleistet, wenn “rm -rf /” mal eben bei Deinstallation durchgereicht wird. So wird Steam selbstredend restlos entfernt, aber auch alles andere. Und wenn es unbedingt sein muss, dann würde ich auch sagen, dass Flatpak hier die sinnvollste Lösung ist. Aber auch nur wenn zugleich Wayland eingesetzt wird.

  • tuxnix

    03.10.2018, 22:49 Uhr

    @Nick 100% Zustimmung!
    Weshalb ‘man so eine widerliche Bloatware überhaupt installiert?
    Weil dieser ‘proprietären Dreck’ ubiquitär verbreitet ist, und man in Folge dessen geradezu bekniet wird es zu installieren.
    Es gibt Bekannte, die haben ihre Familie in Bangladesch und täglich wird miteinander geskyped. Wenn man dann nicht gleich dorthin fliegen möchte um die Verwandtschaft mit zu bekehren, geht man lieber auch mal missliebige Kompromisse ein.
    Danke für den Hinweis auf Wayland.

  • BS

    05.12.2018, 22:08 Uhr

    Habe versucht meinen Skype Account zu löschen, hat bisher nicht geklappt, da migriert mit der Skype Übernahme und mit keinem Microsoft Account verknüpft.