Ubuntu: Augen auf bei der Verwendung von Snaps

Ubuntu und dessen Derivate bieten seit einiger Zeit die Verwendung von sogenannten Snaps an. Das sind installierbare Software-Pakete mit einigen Besonderheiten: Sie bringen ihre Abhängigkeiten direkt selbst mit und lassen sich vom Anwender ohne Root-Rechte im Userspace (d.h. dem eigenen Umfeld des Benutzers) installieren. Sie sind vom übrigen System abgeschottet und erlauben so auch den Betrieb unterschiedlicher Versionen desselben Programms. Allerdings eignen sich, wie sich gerade zeigt, die keinen Kontrollen unterworfenen Snaps auch zur Verbreitung von einfacher Schadsoftware auf Linuxrechnern.

Mein erster Ferrari: Cryptomining per Snap

Ein findiger Anwender hat versucht, sich mittels des Snap-Systems an Anwendern zu bereichern. Er hat frei verfügbare Spiele wie Hextris und 2048buntu als Snap unter seinem eigenen Namen veröffentlicht. Hierzu hat er sogar eine proprietäre Lizenz verwendet, unter der er den Quellcode nicht zugänglich machen muss.

Außer dem jeweiligen Spiel enthielten diese Snaps noch einen Cryptominer, also ein Programm, das auf dem Rechner beginnt, die komplizierten Berechnungen anzustellen, die notwendig sind, um die Kryptowährung Bytecoin zu schürfen. In dem Skript war die E-Mail-Adresse „email hidden; JavaScript is required“ als Nutznießer eingetragen – aber die Hoffnung auf den ersten Ferrari dürfte sich mittlerweile gedämpft haben.

Grundsätzlich ist dies also eine gelungene Infektion mit Schadsoftware für Linux – allerdings eine mit geringem Schadpotential, abgesehen vom Stromverbrauch und der Belastung des Rechners. Cryptominer eignen sich ganz gut für die Verteilung per Snap, weil sie weder das System infizieren müssen noch Root-Rechte brauchen. Dadurch sind die Beschränkungen durch das Snap-Format für sie kein Problem. Sie werden allerdings auch mit dem Snap wieder entfernt, einfaches Löschen reicht also.

Gefährlicher: Erpressungstrojaner

Der nächstliegende Schritt wäre nun, dass jemand einen Erpressungstrojaner auf die gleiche Weise verteilt. Dies dürfte ebenfalls mit dem Snapformat möglich sein, da auch das Verschlüsseln der Daten des aktiven Benutzers keinen Systemeingriff und keine Administrator-Rechte erfordert. Hier wären die Folgen natürlich gleich deutlich unangenehmer.

Wer jetzt auf den Gedanken kommt, dass Antivirussoftware auf dem Linux-Desktop damit endlich eine Berechtigung bekommt: sie dürfte weiterhin völlig wertlos sein. Selbst wenn ein Scan des Snaps den Cryptominer entdecken würde, hat das Programm keine Möglichkeit zu erkennen, ob es sich um Schadsoftware handelt. Der weitaus größte Teil der Cryptominer wird vom jeweiligen Anwender bewusst installiert, es handelt sich um völlig legitime Software. Der Schaden entsteht hier nur durch die Tatsache, dass jemand anders der Nutznießer des Mining-Vorgangs ist.

Gleiches gilt für Verschlüsselungsroutinen: es gibt keine Möglichkeit für Antivirussoftware zu erkennen, ob ein Verschlüsselungsvorgang vom Anwender bewusst initiiert wurde oder es sich um eine Schadsoftware handelt. Die Verschlüsselungsroutinen als solche sind keine Schadsoftware.

Da nicht damit zu rechnen ist, dass Antivirensoftware jemals Intentionen erkennen und bewerten können wird, wird sie weiterhin gegen solche Gefahren wirkungslos sein. Natürlich könnte Antivirensoftware rückfragen: Wollen Sie gerade wirklich Bytecoin schürfen? Wollen Sie gerade wirklich Daten verschlüsseln?

Aber wollen wir wirklich ständig etwas gefragt werden? Dann können wir auch gleich wieder Windows benutzen.

Es sind also zwei Dinge vonnöten: Anwender, die Snaps verwenden, müssen sich des Risikos im Klaren sein und prüfen, wer die Snaps erstellt hat, wie lange sie schon existieren usw. Leider wird die Installationshäufigkeit bislang nicht angezeigt. Im Falle des Cryptominers hat ein Anwender das Skript entdeckt und gemeldet. Aber zum zweiten wäre es auch sehr wünschenswert, wenn Snaps einer gewissen zentralen Kontrolle durch Canonical / Ubuntu unterstellt würden. Dafür sehe ich allerdings keine große Chance, denn so etwas bindet Arbeitskraft und müsste irgendwie bezahlt werden.