miércoles, 16 de mayo de 2018

Malware en paquetes snap


Como ya sabes, los paquetes snap son un intento por unificar la paquetería en las distribuciones Linux de tal manera que el mismo paquete sirva para cualquier distribución sin necesidad de adaptaciones.

Pero esta que es una idea genial ha sufrido un grave contratiempo al encontrarse al menos dos paquetes infectados por malware en el repositorio snap mantenido por Ubuntu.


El caso se inicia cuando el usuario tarwirdur descubrió un extraño script de arranque en un programa que pretendía ser una versión del popular juego 2048. Intrigado por la función de un script en principio tan innecesario, decidió examinarlo en detalle descubriendo una aplicación para el minado de criptomonedas. Llevado por la curiosidad, decidió explorar una segunda aplicación del mismo desarrollador, Nicolas Tomb descubriendo el mismo minero.

La reacción de Ubuntu ha sido retirar todas las aplicaciones de este desarrollador en tanto que se esclarece lo ocurrido. No se descarta que el propio creador estuviera infectado sin saberlo y solo fuera un propagador más de este malware o que descubriera la vulnerabilidad y quisiera ponerla de manifiesto con un caso práctico y poco disimulado para alertar a la comunidad.

¿Pero cómo ha sido esto posible? ¿Son inseguros los paquetes snap?

No, la tecnología detrás de los paquetes snap no es insegura. Está bien testada y funciona. Ni tan siquiera ha aparecido una falla en su seguridad a pesar de estos malwares.

El problema es doble. En primer lugar, los paquetes snap no están creados, mantenidos y supervisados por los creadores de las distribuciones, si no que igual que los PPA de Ubuntu, están creados en algunos casos por los creadores de las aplicaciones originales, como el caso de Firefox y en otros casos por simples personas con conocimiento, pero sin supervisión ni control.

Para dar seguridad, las aplicaciones se revisan con una serie de bots al agregarse a la tienda de aplicaciones, pero estos bots no pueden ni de lejos ser tan exhaustivos como son los equipos dedicados al testeo y supervisión de paquetes en los repositorios tradicionales.

Además, en este caso el programa es de código propietario. Ello hace que su código no esté disponible para su inspección, lo que dificulta aún más la detección de contenido pernicioso en la aplicación.

Llegados a este punto, el problema es el mismo que podemos encontrar en los repositorios PPA o incluso en la Play Store de Google. No se pueden revisar todos los programas añadidos más que por medio de automatizaciones y a esto se añade que el código original puede no estar disponible, por lo que es posible que existan caballos de Troya que pasen desapercibidos.

Conclusión. Usa siempre que puedas los paquetes oficiales, pues están probados y comprobados para tu distribución. Y si quieres usar paquetes snap, asegúrate de que los desarrolladores sean de confianza. O al menos de que el código original es público, lo que hace mucho más difícil que en el haya escondida ninguna sorpresa desagradable.

¡Vamos, lo que toda la vida se ha llamado precaucion!

No hay comentarios:

Publicar un comentario

prekes sodui