CleanPress

Ubuntus Snap-Store kompromittiert

Verfasst von

sla

in

Ubuntu Snap Store | Screenshot: ft

 

Der Ubuntu-Snap-Store war in letzter Zeit von Malware befallen. Einzelne Snaps waren mit Crypto-Mining-Malware versehen. Snaps können aus dem Store, aber auch direkt in Ubuntu und anderen Distributionen, die die anwendunge GNOME Software  verwenden, installiert werden. Dabei handelte es sich um alle von einem Nicolas Tomb hochgeladenen Snaps. Dazu zählten unter anderem Spiele wie 2048buntu und Hextris. Mittlerweile sind alle Snaps von Nicolas Tomb aus dem Snap-Store entfernt worden.

Vorwiegend Spiele

Tomb hatte teilweise proprietäre Lizenzen verwendet, um den Code nicht freigeben zu müssen und sich so vor Entdeckung zu schützen. So war das Snap zu 2048buntu, das auf dem Spiel 2048 basiert, mit einer solchen Lizenz versehen. Das Originalspiel unterliegt einer MIT-Lizenz, die es erlaubt, den Code nach Belieben frei oder proprietär zu verteilen, solange die Copyright-Vermerke erhalten bleiben.

Flatpak besser geschützt

Damit wird ein Problem beleuchtet, das besonders der Snap-Store aufweist. In Ubuntus Snap-Store kann jedermann ungeprüft selbst erstellte Snaps hochladen und so allen Anwendern zugänglich machen. Es wird lediglich ein automatisierter Test auf Funktionalität durchgeführt. Auf FlatHub dagegen durchläuft  jedes eingereichte Flatpak eine Überprüfung, wobei sichergestellt wird, dass das Paket die App Requirements erfüllt, bevor es für die Öffentlichkeit zugänglich gemacht wird. Allerdings sind auch hier bei proprietären Lizenzen der Überprüfung Grenzen gesetzt, was die Einsicht in den Quellcode angeht. Dabei stammen Flatpaks aber eher von vertrauenswürdigen Upstreams als aus dritter Hand.

Handlungsbedarf

Vom Prinzip her sind Snaps, Flatpaks und AppImages zunächst eine gute Idee, um Software mit nur einem Paket allen Linux-Distributionen zugänglich zu machen. Neben des Öfteren vorgebrachten Kritikpunkten ist einer der wichtigsten die Sicherheit. Es ist nicht einzusehen, warum die neuen Paketformate weniger abgesichert sein sollten als die herkömmlichen Formate DEB und RPM. Hier muss der Snap-Store kräftig aufholen und Versäumtes nachreichen.

Kommentare

4 Antworten zu „Ubuntus Snap-Store kompromittiert“

  1. Avatar von Tronde
    Tronde

    Hallo,

    kannst du noch eine Quelle für den kompromittierten Snap-Store nachliefern?

    LG
    Tronde

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      https://github.com/canonical-websites/snapcraft.io/issues/651

      Antworten
  2. Avatar von tuxnix
    tuxnix

    „Es ist nicht einzusehen, warum die neuen Paketformate weniger abgesichert sein sollten als die herkömmlichen Formate DEB und RPM.“

    Bei den herkömmlichen Formaten besteht Vertrauen gegenüber den Paketbetreuern und reproduzierbare Builds sind hier auch schon die Regel.
    Bei Flathub Paketen wird entscheidend sein, wer für das Pakettieren zuständig ist und wer nicht.
    Ein LibreOffice direkt vom „Hersteller“ wird so gut wie nie Beanstandungen haben.

    Bei kommerziell vertriebener Closed Source Software ist eine Überprüfung jedoch schon von vornherein ausgeschlossen und ein Shop in dem jeder Uploaden kann was er/sie will ist letztlich auch nicht kontrollierbar. Mit dem Paketformat selbst hat dies jedoch wenig zu tun.

    Antworten
  3. Avatar von Klaus Meier
    Klaus Meier

    Also ich kann Snaps gar nichts abgewinnen. Genau dafür hat doch jede Distribution eine Paketverwaltung.

    Was sind denn die Argumente dafür?
    – Die benötigten Pakete sind in der Distribution nicht enthalten. Dann soll man sich halt eine vernünftige Distribution suchen.
    – Anwendungen benötigen verschiedene, inkompatible Versionen einer lib. Dafür gibt es Slots. Jedenfalls bei Gentoo.

    Wenn ich dann sehe, was da drin ist: VLC, Gimp…. Will mir doch keiner erzählen, dass es bislang nicht möglich war, sich das zu installieren. Firefox und Chromium gibt es ja jetzt auch als Snap. Die waren ja vor den Snaps unter Ubuntu nicht verfügbar.

    Zum einen ist es eine gewaltige Platzverschwendung, wenn jede Anwendung alles mitbringt und man dann bestimmte Libs 100 Mal auf der Platte hat. Warum hat man damals das dynamische Linken erfunden? Und dann fühle ich mich an Windows <= XP erinnert. Jede Anwendung brachte seine Libs mit. Hast ein Update von Office gemacht, hatte zur Folge, das ein Dutzend anderer Anwendungen nicht mehr funktionierten. Weil bei dem Update gleichzeitig das halbe OS ausgetauscht wurde. Und das soll jetzt bei Linux der Segen sein?

    Jede Distribution hat eine Paketverwaltung für so etwas. Und wenn die das nicht gebacken bekommt, dann ist die Distribution Peng.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge