Mr. Malware visita la Ubuntu Snap Store

Es el asunto del que todo el mundo habla. Un malware se ha colado en la tienda oficial de paquetes snaps, en forma de juego trucho y con capacidades de criptominado.

Unas líneas de JavaScript en un juego llamado “2048buntu” (fork del original 2048, pero bajo licencia propietaria y presente en la tienda desde finales de abril), camuflado como si fuera un proceso de systemd y una dirección de email algo sospechosa, hicieron saltar las alarmas.

En este caso no era algo que pusiera en peligro la seguridad de nuestros datos, pero evidentemente si podía tener un efecto sobre el rendimiento del equipo y el consumo de energía.

Una vez detectado el problema gracias a un usuario que dio la voz de alarma en GitHub, los responsables de Canonical rápidamente procedieron a su eliminación, así como del resto de snaps que había subido el creador de dicho malware. Se espera además una investigación del incidente.

Una reacción adecuada, que sin embargo no impide plantearnos algunas dudas respecto a como manejan en Ubuntu este tema.

Empezando por su definición. ¿Que es una snap? os preguntaréis algunos. Veamos la definición oficial presente en la web de snapcraft:

Los snaps son paquetes de software en contenedores que son simples de crear e instalar. Se actualizan automáticamente y se pueden ejecutar de forma segura. Y debido a que incluyen sus dependencias, funcionan en todos los principales sistemas Linux sin modificaciones.

“De forma segura”…deducimos que no se refieren a los controles de calidad respecto a las snaps que son subidas a la tienda, sino a su mecanismo de ejecución y como interacciona con el resto del sistema y aplicaciones.

Recordemos que frente a otras soluciones como Flatpak (que soportan múltiples repositorios y tiendas), las snaps utilizan un repositorio centralizado dependiente de Canonical. Uno de los mayores problemas a la hora de de controlar la calidad de las aplicaciones incluidas, es que dicho repositorio está abierto a programas de tipo privativo y no existe ningún control sobre quien los sube, dando la impresión de que el proceso de aprobación de las apps es automático.

Flatpak, AppImages, snaps… son soluciones interesantes porque simplifican la distribución de software del lado del desarrollador y permiten al usuario de distros de ciclo regular acceder a versiones nuevas de sus programas. Además sus capacidades de aislamiento en combinación con otras partes del sistema como Wayland o suites de seguridad tipo AppArmor, son un punto a su favor.

Con todo a día de hoy, las sigo viendo como algo excepcional y personalmente la última opción a la hora de instalar algo. En Ubuntu sigo prefiriendo los paquetes deb y el gestor de paquetes apt a pesar de algunas de sus aristas (algo lento para mi gusto y con un manejo de los paquetes huérfanos también discutible). Y puesto que tampoco es mi sistema principal, no tengo esa ansia de estar a la última en cuanto a programas.

Sin mencionar que las snaps ocupan más espacio que un paquete tradicional y todavía tienen menos sentido en distros rolling releases como Arch Linux, ya de por si imbatibles en cuanto a actualizaciones o disponibilidad de paquetes, gracias a la implicación de su comunidad de usuarios.

Incluso repositorios comunitarios del estilo de AUR son actualmente más fiables, puesto que dan la oportunidad de revisar de forma previa el script de instalación, comprobar el grado de popularidad y las fuentes de donde proviene el software. Obviamente no todos los usuarios lo hacen, pero en Arch Linux –al contrario que Ubuntu y otras distros– si existe una cierta costumbre al respecto.

No es algo excepcional esto del malware, en la misma Google Play con Android se ve todos los días, pero no por ello es menos inquietante. Así que habrá que estar atento a que medidas toma Canonical para reforzar la seguridad de su tienda de aplicaciones snaps, no solo a nivel de inserción de paquetes sino también de actualizaciones (o la falta de ellas).

Y los usuarios que opten por descargar snaps en vez de utilizar los repositorios de su distro, tendrán que tomarlas con el mismo grado de precaución que cualquier otro paquete proveniente de una fuente no oficial.

Y sobre todo si ven un correo electrónico en el código con la palabra Ferrari, desconfíen. 🙂

14 thoughts on “Mr. Malware visita la Ubuntu Snap Store”

  1. Perseo says:

    Muy bueno. Lo mejor como has dicho antes….repositorios oficiales. Gracias por el reporte.

    1. tannhausser says:

      De nada, gracias a ti por pasarte.

    1. tannhausser says:

      Buen título para hacer clickbait XD

      1. Mefisto Feles says:

        No caí en cuenta que talvez hacia propaganda, no era la intención.
        En cuanto a los “snaps” solo uso ese. Considero que lo normal, y lo mas sano para el sistema operativo es usar aplicaciones que requieran la contraseña del administrador para funcionar y que esten en repositorios confiables. Por esto los “snaps” llevan un riesgo inherente.
        Tampoco lo era para el correo. Encontré este proveedor buscando mas privacidad y mas seguridad en Internet luego de las revelaciones de Snowden que todos conocen.
        Debido a estas cambié radicalmente mis habitos en la red y ahora navego y me comunico con mas tranquilidad y seguridad.
        Empezando porque uso GNU/Linux (Debian 9) …. al que si le hago propaganda.

        Saludos

        1. Ainumortis says:

          El que pida contraseña o no de administrador no es garantia dede seguridad, ya que podria crear un script que hiciera la misma funcion y se estaria instalando igualmente en el sistema, aqui el problema ha surgido de que se ha aprovechado de la mayor vulnerabilidad que existe, el usuario.

          Ya que por desconocimiento, no se ha revisado el código. Por suerte, se ha detectado rápidamente, pero si alguien crease un binario en lugar de un script y este enmascarase su funcion dentro del sistema, seria mas dificil de detectar.

  2. Marcos says:

    Hola,
    Sobre “Recordemos que frente a otras soluciones como Flatpak (que soportan múltiples repositorios y tiendas), las snaps utilizan un repositorio centralizado dependiente de Canonical.” realmente cualquiera puede tener su propio repositorio de snaps:
    https://insights.ubuntu.com/2016/06/24/howto-host-your-own-snap-store
    Un saludo

    1. tannhausser says:

      Tienes razón, en la teoría podría haber muchas tiendas y repositorios externos, pero en la práctica es algo que no se da. Tampoco digo que sea malo, supongo que tendrá sus ventajas e inconvenientes.

      Incluso la gente de Flatpak tiene algo similar en cuanto a tienda “centralizada” llamado Flathub, creo recordar.

  3. Mefisto Feles says:

    Preocupante, pero obvio, que alguien use los paquetes “snaps” para introducir malware en los PCs. Solo uso uno, Etcher para hacer instaladores de Sistemas Operativos y en esto es muy bueno. Ojalá no venga “premiado”.
    En cuanto a PROTONMAIL no es ningun operador de correo “sospechoso”. Es el correo electrónico desarrollado por la gente del CERN y su gran caracteristica es ser cifrado totalmente al punto de necesitar una contraseña adicional para la Bandeja de Entrada.
    Yo tengo uno de esos con excelentes resultados.

    Saludos

    1. tannhausser says:

      Hola! Conozco Protonmail, tengo una cuenta con ellos desde que estaba en beta e incluso les dediqué algún post.

      Lo que llama la atención es lo del coche. Alguien quería comprarse su primer deportivo a base de criptomonedas 🙂

      Saludos

  4. Juan J.J. says:

    Muy buen aporte e información, aunque seguiré con mi Manjaro y mi Arch. Saludos Replicante.

    1. tannhausser says:

      De nada Juan. Gracias a ti por comentar!

      Un saludo!

  5. chumbo says:

    Los programas empaquetados con snap pueden iniciarse como daemon al inicio del sistema? Es decir, un virus de estos podría ejecutarse incluso después de reiniciado el ordenador, o solo cuando se vuelva a ejecutar la aplicacion manualmente?

    1. Rotietip says:

      Según esto los programas troyanizados tenían un script que les permitía cargarse automáticamente al inicio del sistema y ejecutarse en segundo plano.
      Por cierto, hace un par de años les dije que algo así podría pasar pero no me hicieron caso 😒.

Deja un comentario