Trovato un malware in Ubuntu Snap Store: l’inizio della fine?

Recentemente gli amici di Canonical stanno puntando tutto sugli Snap, quei pacchetti che, di fatto, contengono tutto il necessario per l’esecuzione di un dato software, comprese le librerie, e che dovrebbero rendere meno impattante l’aggiornamento di app differenti che utilizzano la stessa “base”.

Che sia per le live patch del Kernel o per la distribuzione di software di utilità, gli Snap oramai sembrano diventare sempre di più la norma per la distribuzione Ubuntu, al punto che si trovano facilmente direttamente in Ubuntu Software, l’applicazione integrata per l’installazione di pacchetti dallo “store” ufficiale.

E’ saltato fuori recentemente che un paio di applicazioni distribuite come Snap, e presenti proprio in Ubuntu Software, contenessero anche un miner di criptovalute, ovvero un piccolo software che, sedendosi in background, utilizzava le risorse del computer ospite per cercare di generare, appunto, criptovalute (Bitcoin, Ethercoin, etc.).

La cosa preoccupante non è data solo da questo comportamento, ma anche dal fatto che lo stesso processo di mining si mascherasse come un demone systemd e che, oltre a questo, gli snap si occupassero di installare uno script che venendo eseguito in fase di boot, caricava il software direttamente in background, eseguendolo anche se l’applicazione fornita dallo stesso snap non era in esecuzione.

Il miner è stato identificato e segnalato su GitHub dall’utente tarwirdur che, nonostante porti la prova esplicita solo per l’applicazione incriminata, 2048buntu, indica anche che tutte le altre applicazioni dello stesso sviluppatore (Nicolas Tomb) installavano lo stesso contenuto; per questo Canonical ha già provveduto a rimuovere tutte le applicazioni di quell’autore in attesa di ulteriori indagini, nello scorso weekend, ma non avendo lo store di Canonical un’indicazione pubblica sul numero di installazioni, non è ben chiaro quanto questo malware sia diffuso.

In ogni caso è stato indicato, come futura nota, che probabilmente il posto migliore dove segnalare questo tipo di contenuti è il forum dello store di snapcraft, l’attuale repository di Snap utilizzato da Ubuntu.

Ma come è finito un cryptominer direttamente sullo store? Beh, semplicemente per il fatto che tutte le applicazioni che vengono inviate per la pubblicazione vengono sottomesse ad un sistema automatico di test che verifica il loro funzionamento e la loro corretta installazione su diverse distribuzioni Linux, ma non vengono controllate riga per riga per eventuali contenuti sospetti.

Inoltre, entrambe le applicazioni sono state pubblicate come software proprietario, rendendo non disponibile il codice e, quindi, facendo si che fosse possibile identificare questo comportamento malevolo solo dopo la loro installazione.

Alcuni, però, suppongono che questo comportamento non fosse realmente malevolo e che l’autore abbia inserito volutamente questo codice (in cui veniva citata una Ferrari) con il solo scopo di attirare l’attenzione sull’uso degli Snap (e di snapcraft) come vettore di trasporto per comportamenti illeciti.

Questa teoria è supportata anche dal fatto che il malware in questione non sfruttava realmente un problema (od un metodo specifico di funzionamento) degli Snap, e che poteva tranquillamente essere inserito anche in un PPA, una AppImage o uno di quei famosi script di installazione tanto in voga su GitHub negli ultimi anni (avete presente i vari

# curl https://github.com/... | bash

? Ecco, non fatelo!).

Quindi, è veramente un problema legato agli Snap? Sarà davvero questo il veicolo di infezione delle future macchine Linux? O è solo un modo per avvertire di un possibile problema che, in realtà esiste da anni?

Ai posteri l’ardua sentenza.

Leggi il contenuto originale su Mia mamma usa Linux!