Snap Store – przemycenie złośliwego kodu w Linux. Czy jest się czego obawiać?

Snap Store – przemycenie złośliwego kodu w Linux. Czy jest się czego obawiać?29.02.2024 13:39
Snap Store
Źródło zdjęć: © Avlab

Firma Canonical, która rozwija system Ubuntu (dystrybucje serwerowe i wersje dla użytkowników domowych), jest chwalona oraz jednocześnie krytykowana za obieranie własnej drogi wprowadzenia do świata Linuksa kolejnego źródła oprogramowania, jakby Linux miał ich za mało. Chodzi o technologię instalowania oprogramowania i zarządzania pakietami SNAP. Pakiety Snap są alternatywną dla Flatpak, AppImage oraz dotychczasowych pakietów DEB używanych domyślnie w Ubuntu 22 LTS i starszych.

Od wersji Ubuntu 23 LTS (Long-Term Support), które zostanie wydane w kwietniu 2024 roku, Ubuntu będzie posiadało wsparcie na kolejne dwa lata z domyślną obsługą "instalatorów Snap" ze swojego sklepu App Store, zamiast instalatorów pakietów DEB. O różnicach pomiędzy Snap, Flatpak, AppImage oraz DEB, możecie posłuchać na kanale Świat Linuxa.

Ubuntu LTS to najbardziej popularna odmiana dystrybucji dla desktopów, komputerów PC i laptopów oraz stacji roboczych dla pracowników. Za sprawą Snapów firma Canonical wprowadziła małą ewolucję do systemu, a zdaniem niektórych – ‘re’wolucję. Możesz przeczytać więcej o Snap w tym miejscu.

Internet jest pełen porównania Snap vs. DEB, czy Snap vs. Flatpak itp. Zdaniem niektórych ekspertów, Snapy są bardziej bezpieczne od DEB, bo do instalacji oprogramowania nie wymagają uprawnień root, a zdaniem innych ekspertów, jest to chwilowe zachłyśnięcie się bezpieczeństwem do czasu poznania zalet Flatpak.

Tak czy inaczej, instalując jakiekolwiek oprogramowanie ze sklepu App Store w Ubuntu, pakiety ze wszystkimi zależnościami, niezbędnymi do obsługi oprogramowania, będą domyślnie instalowane ze Snapów.

Widok na zainstalowane oprogramowanie w Ubuntu z App Store., Źródło zdjęć: © Licencjodawca
Widok na zainstalowane oprogramowanie w Ubuntu z App Store.
Źródło zdjęć: © Licencjodawca

Pakiety Snap, inaczej mówiąc, to "kapsułka" zawierająca konfigurację oraz oprogramowanie dla dystrybucji Linux, które wspierają Snapy. Najpopularniejszą dystrybucją jest Ubuntu, bo to Canonical zaczął rozwijać ten rodzaj pakietów. Jako użytkownicy Internetu na co dzień korzystamy z tzw. sklepów oprogramowania w systemach Android (Google Play Store), Apple (App Store), Microsoft (Microsoft Apps) oraz kilku odmian sklepów w Linux.

Na czym polega potencjalny "atak"?

Załóżmy, że będąc w terminalu, chcesz uruchomić edytor gedit. Wpisujesz "gedit":

To tak zwane sugerowanie pakietów. Na to zwracają uwagę eksperci., Źródło zdjęć: © Licencjodawca
To tak zwane sugerowanie pakietów. Na to zwracają uwagę eksperci.
Źródło zdjęć: © Licencjodawca

Oprogramowanie nie jest zainstalowane w systemie, więc system zarządzania pakietami proponuje Ci zainstalować jeden z dostępnych, poprzez APT lub Snap.

Zdaniem ekspertów, którzy przeanalizowali zależność "sugerowania" pakietów do instalacji, "sklep Snap Store nie jest żadnym poważnym zabezpieczeniem przed przemyceniem złośliwego kodu, biorąc pod uwagę brak rygorystycznych procesów przeglądu pakietów w porównaniu do APT".

Teraz załóżmy, że system w terminalu zwróci odpowiedź "sudo snap install gedit-chatgpt" – pakiet przygotowany przez autorów złośliwego kodu.

Co się może stać dalej, nie trzeba tłumaczyć w szczegółach.

Czy taki atak możliwy jest do przeprowadzenia?

W teorii, tak.

Kto najbardziej jest zagrożony?

Bardziej systemy produkcyjne, serwerowe, IoT, zarządzane przez administratorów z linii poleceń.

Kto ponosi odpowiedzialność za możliwość ataku?

Firma Canonical, która może szybko rozwiązać problem ów teoretycznego exploita. Możliwe, że trzeba się przyjrzeć systemowi sugerowania pakietów snap lub zaostrzyć zabezpieczenia podczas wprowadzania kodu do sklepu przez programistów i przez potencjonalnych autorów malware.

Z podobnego powodu sklep Google Play dla Androida od lat jest nadużywany przez autorów złośliwych aplikacji.

Jak można się zabezpieczyć, w teorii?

Korzystać ze sklepu App Store zamiast z linii poleceń, alternatywnie weryfikować literówki przy wpisywaniu oprogramowania do zainstalowania. Oczywiście Snapy to takie samo źródło oprogramowanie, jak inne, dlatego to użytkownik jest odpowiedzialny za sprawdzenie, co i skąd instaluje.

Nie zachęcamy do zrezygnowania ze Snapów i zastąpienia ich czymś innym – o tym niech zdecydują użytkownicy, ponieważ wymaga do indywidualnego researchu, zaznajomienia się z systemem, oraz przestudiowaniu czym jest Snap i czym różni się od innych systemów zarządzania pakietami.

W teorii, użytkownicy desktopów nie są interesującym celem.

PS. Systemy Windows 10/11 z zainstalowaną obsługą powłoki Linux również są w zasięgu ataku.

Źródło artykułu:avlab.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na