Vor zehn Tagen berichteten wir über einen Fall von Malware im AUR von Arch Linux. Drei Pakete, die Malware verbreiteten, waren hochgeladen worden. Jetzt sind in dem Community-Repository von Arch Linux, erneut drei Pakete hochgeladen worden, die wiederum wie bei den Vorgängern, einen Remote-Access-Trojaner (RAT) ausführten. RATs sind Malware, die es einem Angreifer ermöglichen soll, einen infizierten Computer aus der Ferne zu steuern.
Chrome als Lockmittel
Dieses Mal gaben die Pakete vor, den Chrome-Browser zu installieren. Beim Vorgänger standen die Pakete mit Firefox in Verbindung. Die Malware-Verteiler scheinen also Browser als gutes Vehikel für die Verbreitung von Malware identifiziert zu haben. Es handelte sich um drei verschiedene Pakete mit den Bezeichnungen google-chrome-bin, chrome und google-chrome-stable. Die Pakete hatten im AUR nur eine kurze Lebenszeit, wurden aber, erkennbar an den Upvotes, vermutlich mehrmals heruntergeladen.
Das AUR bleibt problembehaftet, solange die Upload-Richtlinien nicht verschärft werden. Ich denke, man tut gut daran, derzeit keine Pakete aus Vorlagen zu erstellen, die erst kürzlich hochgeladen wurden, denn der jetzige Vorfall war vermutlich nicht der letzte.
Auch diesmal waren die “völlig ahnungslosen AUR Nutzer” das angestrebte Zielpublikum der Attacke. Die betreffenden PKGBUILDs hießen: google-chrome-bin, chrome und google-chrome-stable
1. Das Paket chromium gibt es im normalen Extra Repository, weshalb sollte man stattdessen ein AUR Paket nutzen?
2. Was vom Namen her angeblich offiziell von google stammt, sollte auch im PKGBUILD auf ein git-Repositorium verweisen, dass von google gemanagt wird.
3. PKGBUILDs die binären code verteilen, sollte generell erst einmal mit Misstrauen begegnet werden. Binäcode installiert man nur aus einer vertrauenswürdigen Quelle.
Wer bis 3. zählen konnte ist bei diesem “Dummenfang” nicht hereingefallen.
Die Überprüfung das AUR-PKBUILDs findet ausschließlich durch die Community statt. Ich finde, dass diese Selbstkontrolle insgesamt doch recht gut funktioniert. Immerhin stellt das AUR über 92.000 PKBUILDs von Usern für User bereit und diese Freiheit wäre auf andere Weise auch gar nicht anders machbar.
Was die Angreifer damit bezwecken ist unklar. Dazu sind die Attacken viel zu durchsichtig gewesen. Will man damit das AUR in Misskredit bringen oder nur die Vigilans der Community wieder etwas schärfen?
einfaches up/downvoting sollte reichen, wenn ein unbekanntes paket installiert werden soll, informiere ich mich auch erst über die aur.archlinux.org ggf. github checken…
aur o. jedes andere repo ist immer mit vorsicht zu geniessen.
Und täglich grüßt das Murmeltier.
Drittquellen jedweder Art (AUR, PPA, deb\rpm\…-Repositories) sind eine Gefahrenquelle, die man nur nutzen sollte, wenn man Wissen und Zeit hat, sich damit genau auseinander zu setzen.
Danke, dass du uns dran erinnerst 😉
(Ich habe beides nicht, deswegen nutze ich das nicht.)
>Das AUR bleibt problembehaftet, solange die Upload-Richtlinien nicht verschärft werden.
Was wäre dein Vorschlag? Die einzige Möglichkeit die ich aktuell sehe ist, jede Änderung und jede neue PKBUILD-Datei vor Veröffentlichung zu prüfen. In der Praxis wird das nicht leicht umsetzbar sein.
– Wer soll diesen Job, vor allem kurzfristig, übernehmen? Das offizielle Team dürfte nicht groß genug sein. Einfach jemanden für das Prüfen einstellen? Wäre mir aktuell auch zu risikoreich.
– Muss AUR (also die Plattform) eventuell hierfür angepasst werden? Was ggf. auch wieder relativ schnell passieren sollte und sich somit wieder die Frage stellt, wer macht es?
– Wollen die Nutzer des AUR beispielsweise 24 Stunden oder länger warten bis ein Update veröffentlicht wird?
– Was ist mit den bereits vorhanden Rezepten im AUR (aktuell 92996)? Von diesen könnten manche bereits vor längerem manipuliert worden sein. Somit müsste jemand alle prüfen. Hier wären wir wieder bei der Frage, wer macht es?
>Ich denke, man tut gut daran, derzeit keine Pakete aus Vorlagen zu erstellen, die erst kürzlich hochgeladen wurden, denn der jetzige Vorfall war vermutlich nicht der letzte.
Problematisch sind leider auch nicht nur neue Angebote im AUR. Bei dem Vorfall vor ein paar Jahren hat jemand als “verwaist” gekennzeichnete Rezepte übernommen und diese in böser Absicht geändert.
Sinnvoller wäre es wenn Nutzer das berücksichtigen was schon ewig im Wiki steht und vor einer Installation oder Update beispielsweise die PKGBUILD-Dateien selbst prüfen würden. Jeder mir bekannte AUR-Helper verfügt über solch eine Funktion. Und die PKBUILD-Dateien werden im Wiki auch gut erklärt und sind eigentlich recht einfach zu verstehen. Bis auf ein paar Ausnahmen.
Ich habe keinen Vorschlag, ich habe Arch bisher nur sporadisch virtuell getestet und das AUR nie benutzt.
Der letzte Absatz ist der Entscheidende.
Problematisch daran ist halt, dass manche Distros, die Arch “anfängertauglich” machen wollen, das AUR per Default mit einbinden – ein absolut unverantwortliches Unding in meinen Augen.
Moin,
ich verwende genau so etwas und bin sehr zufrieden damit, schade das du dich mit deiner Distribution plagen musst.
Augen auf ist am PC Mac Win Linux immer von Nöten.
Gruß
Was genau lässt dich dabei auf die Idee kommen, dass ich mich mit Arch “plagen muss”?
Es geht mir um genau dein “Augen auf” – das kann aber eben nicht garantiert werden, wenn sich der User gar nicht bewusst ist, dass er etwas aus dem AUR installiert.
Davon unberührt gibt es natürlich das Problem, dass viele User “blind” aus dem AUR installieren, ohne die PKGBUILD anzuschauen oder gar zu verstehen…
Ich hätte einen Vorschlag, der vielleicht etwas helfen könnte, aber einigen nicht schmecken würde:
Nicht jeder kann erstellen, speziwlle Registrierung oder Aktivitätsnachweis. Als Gedankenanstoß.
Statt AUR –> Flatpak.
Gab es bei Flatpak schon Malware? Hoffentlich nicht.
Nach einer kurzen Suche habe ich nichts gefunden, muss aber nichts heißen. Ich würde allerdings davon ausgehen, dass Flathub eine sichere Quelle ist, als das AUR, da Einreichungen genehmigt werden müssen. Außerdem sind Flatpaks ja sandboxed, was einen gewissen Schutz mit sich bringt. Ganz ausschließen kann man allerdings nichts… Das gilt aber für alle Quellen.
Meines Wissens nicht.
Sehe ich auch so. Nur leider gibt es manches nur im AUR. Deswegen muss ich für speziellere Software, wie Waydroid, oder uxplay dann doch auf das AUR zurückgreifen. Aber das sind Sachen, die von Otto Normalverbraucher nicht benötigt werden…