Schandaaltje bij de Snaps (Flatpaks evenzeer kwetsbaar)

[Pjotr]

Leuk hoor, Snaps en Flatpaks. Maar de mindere mate van beheersing, kan tevens zorgen voor narigheid:

A collection of Snap packages have been identified which contain a hidden, cryptocurrency miner. The miner, which was bundled in Snaps such as 2048buntu, would run in the background when a Snap was activated. The Snaps were identified and removed over the weekend. The discovery of the hidden code has raised questions about the verification steps a package needs to go through before being published in the Snapcraft store.

Bron: https://distrowatch.com/weekly.php?issue=20180514#news

Eerlijk gezegd verbaast het me niks.... Enfin.

[maasnet]

Leuk hoor, Snaps en Flatpaks. Maar de mindere mate van beheersing, kan tevens zorgen voor narigheid:

A collection of Snap packages have been identified which contain a hidden, cryptocurrency miner. The miner, which was bundled in Snaps such as 2048buntu, would run in the background when a Snap was activated. The Snaps were identified and removed over the weekend. The discovery of the hidden code has raised questions about the verification steps a package needs to go through before being published in the Snapcraft store.

Bron: https://distrowatch.com/weekly.php?issue=20180514#news

Eerlijk gezegd verbaast het me niks.... Enfin.

https://www.security.nl/posting/561877/Malware+in+Ubuntu+Snaps+Store+ontdekt+en+verwijderd

[testcees]

Gelukkig is mijn Windows computer niet vatbaar voor deze Linux malware 

Zelfs met WSL niet, snap softwarepakketten werken (nog) niet in Ubuntu voor Windows 10 

[testcees]

Leuk hoor, Snaps en Flatpaks. Maar de mindere mate van beheersing, kan tevens zorgen voor narigheid

Canonical heeft gereageerd op deze narigheid: https://blog.ubuntu.com/2018/05/15/trust-and-security-in-the-snap-store

Het wordt door Canonical geen “malware” genoemd, het brengt immers geen schade aan de computer of gegevens en bitcoins minen is niet illegaal.
Het is wel “misleidend” dat de auteur niet heeft vermeld dat de software stiekum cryptovaluta delvde op kosten van de gebruiker (computerkracht, stroomrekening)…

Bij traditionele softwaredistributie via (officiele) pakketbronnen zal dit probleem niet snel optreden. Canonical heeft dan de luxe de software uitgebreid te (laten) testen. Effect is dat het minimaal een half jaar (minimaal 2 jaar bij LTS versies) duurt voordat nieuwe software en/of nieuwe versies van software kunnen worden gebruikt in Ubuntu. Tenzij je alleen een browser, kladblok en een rekenmachine gebruikt niet altijd wenselijk.

Nieuwe software (-versies) als Snaps (of Flatpacks enz) kunnen veel sneller worden gebruikt, en zelfs in verschillende Linux distributies.

Net als in de App store voor iOS, Android en Windows wordt software in de Snap Store automatisch gecontroleerd en waar nodig handmatig extra. Maar deze controles kunnen niet volledig en waterdicht zijn (het budget van Canonical is ook nog eens beperkt). Daarom is het beter om de auteur (leverancier) van de software te vertrouwen in plaats van de Snap Store.

Installeer dus alleen Snaps (of Flatpacks, maar ook Android Apps enz.) van auteurs (leveranciers) die je meent te kunnen vertrouwen.

Canonical werkt wel aan een systeem waardoor het eenvoudiger wordt betrouwbare auteurs te herkennen en verwacht daar binnenkort meer over te kunnen vertellen.

[rene59]

Installeer dus alleen Snaps (of Flatpacks, maar ook Android Apps enz.) van auteurs (leveranciers) die je meent te kunnen vertrouwen.

Ja die is lekker! Men gebruikt dat spul uit de softwarebronnen omdat men meent dat het betrouwbaar is!
Moeten we straks ook nog de geloofsbrieven van de makers gaan opzoeken?

[jvecht]

Mee eens, rene59!

Het is ondoenlijk om van elke maker na te gaan of hij te vertrouwen is. Als het in de repo zit mag dit soort zaken niet voorkomen, al is natuurlijk niks helemaal uitgesloten. Dit is voor iedereen een les.

Destijds had men grote kritiek op de containers die je zelf via Singularity kan samenstellen waar ik en MKe de aandacht op vestigden. Nee, maar we juichen wel de integratie van bepaalde containers in een van de andere distro's in. Nou, dat blijkt dus allemaal iets anders te liggen.

groet,

Just

[aartje]

Leuk hoor, Snaps en Flatpaks. Maar de mindere mate van beheersing, kan tevens zorgen voor narigheid

Canonical heeft gereageerd op deze narigheid: https://blog.ubuntu.com/2018/05/15/trust-and-security-in-the-snap-store

Het wordt door Canonical geen “malware” genoemd, het brengt immers geen schade aan de computer of gegevens en bitcoins minen is niet illegaal.
Het is wel “misleidend” dat de auteur niet heeft vermeld dat de software stiekum cryptovaluta delvde op kosten van de gebruiker (computerkracht, stroomrekening)…

Dit is een kul-argument van Canonical. Bitcoin-mining is (nog?) niet illegaal meer wel hoogst asociaal. Er wordt
vreselijk veel vervuilende energie gebruikt voor een kunstmatig winstgevend doel voor jezelf (puur egoïsme)
Voor hetzelfde geld was het wel illegaal en als het te controleren zou zijn zou ik voor vervolging van miners zijn...

[Pjotr]

Ik vind het ook een doorzichtige smoes van Canonical. Net als de Nederlandse autoriteiten die het tegenwoordig over een "verwarde man" hebben als het over een terrorist gaat. 

[rene59]

Zoiets als ik pak je auto elke dag een paar uur en breng em zonder schade terug zonder bij te tanken. T is geen diefstal maar slechts gebruik.