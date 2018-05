Software::Distributionen::Ubuntu

Ubuntu Snap Store enthielt Malware

Der Ubuntu Snap Store hat Snaps angeboten, die Malware enthielten, um per Crypto-Mining Hardware-Ressourcen der Anwender zur Erstellung von ByteCoin abzuzweigen.

Canonical

Im Ubuntu Snap Store kursierten seit Ende April verschiedene Snaps, die eine Malware enthielten, um die Crypto-Währung ByteCoin zu erstellen. Mindestens zwei der Pakete eines Users, der mehrere Snaps unter dem Namen Nicolas Tomb hochgeladen hatte, enthielten die Crypto-Mining-Malware, die als Systemd-Daemon getarnt war. Canonical hat die Snaps dieses Users mittlerweile entfernt und eine Untersuchung eingeleitet.

Es ist nicht bekannt, wie oft die Snaps heruntergeladen wurden, da der Snap Store keinen öffentlichen Zähler aufweist. Zudem waren die Snaps auch über die Applikation Gnome-Software zu beziehen, die neben Ubuntu auch von anderen Distributionen verwendet wird. Bei den beiden identifizierten Snaps handelt es sich um die Spiele »2048buntu« und »Hextris«. Tomb hatte teilweise proprietäre Lizenzen verwendet, um sich so vor Entdeckung zu schützen. So war das Snap zu 2048buntu, einem Clone des Spiels »2048«, mit einer solchen Lizenz versehen. Das Originalspiel unterliegt einer MIT-Lizenz, die es erlaubt, die Software frei oder proprietär zu verteilen. Vor drei Tagen fragte der Entdecker der Malware auf der GitHub-Instanz von Snapcraft an, wo er die Malware melden solle.

Jedermann kann in den Snap Store Pakete hochladen, sofern sie technisch funktionieren. Das stellt ein automatischer Test sicher, der derzeit die einzige Zugangsbarriere des Ubuntu Snap Store darstellt. Selbst eine weitere Überprüfung der Apps wäre wegen der proprietären Lizenz nicht in der Lage gewesen, die Malware zu erkennen.

Im Flatpak-Store FlatHub wird jedes Paket einer manuellen Durchsicht unterzogen, ob die App Requirements erfüllt werden. Auch FlatHub erlaubt proprietäre Lizenzen, um Anwendungen wie etwa Steam oder Spotify als Flatpak zu ermöglichen. Auch hier kann laut aussage eines Entwicklers in solchen Fällen keine absolute Sicherheit gewährleistet werden. Jedoch ist Flatpak eher auf Upstream-Pakete ausgelegt, deren Quellen man vertraut, als auf Pakete Dritter. Alle FlatHub-Pakete werden zudem auf vertrauenswürdigen Build-Servern gebaut.