CleanPress

Skype für Debian kann Rechner gefährden

Debian Swirl

Verfasst von

sla

in

,

Der IT-Berater Enrico Weigelt hat ein Sicherheitsproblem bei der Installation von Microsofts Microsofts Skype-Paket für Debian und seine Derivate entdeckt. Das ermöglicht unter Umständen das Einschmuggeln von bösartigen Paketen bis hin zur kompletten Übernahme des Rechners.

Ungefragter Eintrag

Das Paket schreibt bei der Installation ungefragt den Eintrag https://repo.skype.com/deb stable main in die sources.list und ermöglicht damit die Aktualisierung des Pakets durch Microsoft. Das dabei entstehende Problem ist, dass Microsoft oder jemand, der den entsprechenden privaten Apt-Repository-Schlüssel hat, freie Hand hat, unbemerkt bösartige Pakete zu installieren.

Canonical-Mitarbeiter Seth Arnold weist auf weiteres Gefahrenpotenzial hin, wenn er anmerkt, dass durch die Tatsache, dass viele an einer Paketinstallation unter Debian beteiligte Scripte mit vollen Root-Rechten laufen, Microsoft oder andere Dritte einen Rechner komplett übernehmen könnten.

Nichts Neues

Warum Weigelt jetzt das Skype-Paket als unsicher anmahnt, erschließt sich nicht ganz, denn das nicht tolerierbare ungefragte Eintragen in die Quellenliste bei der Installation von Drittanbieter-Paketen in Debian ist nichts Neues. Googles Browser Chrome tut das schon immer, ebenso wie Vivaldi und andere. Dass das nicht sein muss, zeigt Hersteller Opera, der während der Installation nachfragt, ob der Eintrag gewünscht ist.

Reale Gefahr

Ob man nun Google mehr vertraut als Microsoft oder anderen Softwareschmieden bleibt jedem selbst überlassen. Aber selbst wenn dort kein böser Wille unterstellt wird, wäre es nicht das erste Mal, dass böswillige Hacker sich Firmengeheimnisse beschaffen. Ich denke dabei etwa an die mit einer Backdoor versehenen gefälschten Images bei Mint Linux im Februar. Die Gefahr, die Weigelt hier beschreibt, ist also durchaus real.

Schaden verhindern

Er beschreibt deshalb einige Maßnahmen, um die Gefahr zu bannen. Dazu zählt das Entfernen des Eintrags aus der Quellenliste ebenso wie das Kompilieren des Pakets ohne die Routine zum Erstellen des Eintrags. Darüber hinaus lässt sich das Paket per Apt-Pinning darauf festnageln, lediglich skypeforlinux zu aktualisieren. Schließlich sieht Weigert noch die Möglichkeit, das Paket via Docker oder LXC in einen Container zu sperren.

Abgeschottet

Wenn Alternativen zu Skype nicht in Frage kommen, sehe die Installation von Skype per Flatpak als die bessere Lösung an, da hier die Anwendung bereits durch die Sandbox limitiert ist und beim Aktualisieren keine Möglichkeit besteht, Schaden außerhalb des Pakets anzurichten. Ubuntu-Anwender bevorzugen hier eventuell das Snap von Skype.

Kommentare

3 Antworten zu „Skype für Debian kann Rechner gefährden“

  1. Avatar von Nick
    Nick

    Mir ist unbegreiflich wie so man so eine widerliche Bloatware überhaupt installiert. Mal vom Umstand abgesehen, dass proprietäre Software unter Debian ab Werk, nicht auf einfachem Wege installiert werden kann. Und auch wenn es viele Wege gäbe sich davor zu schützen, sollte man lieber klug handeln und proprietären Dreck vom System fern halten. Das ist und wird immer eine Gefahr bleiben. Auch Steam hat sich diesbezüglich schon tolles geleistet, wenn „rm -rf /“ mal eben bei Deinstallation durchgereicht wird. So wird Steam selbstredend restlos entfernt, aber auch alles andere. Und wenn es unbedingt sein muss, dann würde ich auch sagen, dass Flatpak hier die sinnvollste Lösung ist. Aber auch nur wenn zugleich Wayland eingesetzt wird.

    Antworten
  2. Avatar von tuxnix
    tuxnix

    @Nick 100% Zustimmung!
    Weshalb ‚man so eine widerliche Bloatware überhaupt installiert?
    Weil dieser ‚proprietären Dreck‘ ubiquitär verbreitet ist, und man in Folge dessen geradezu bekniet wird es zu installieren.
    Es gibt Bekannte, die haben ihre Familie in Bangladesch und täglich wird miteinander geskyped. Wenn man dann nicht gleich dorthin fliegen möchte um die Verwandtschaft mit zu bekehren, geht man lieber auch mal missliebige Kompromisse ein.
    Danke für den Hinweis auf Wayland.

    Antworten
  3. Avatar von BS
    BS

    Habe versucht meinen Skype Account zu löschen, hat bisher nicht geklappt, da migriert mit der Skype Übernahme und mit keinem Microsoft Account verknüpft.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge