snap

Los Snaps de Canonical han sufrido su primer tropiezo importante y no ha sido debido a su funcionamiento o a cualquier otro asunto técnico relacionado con la concepción de estos paquetes, sino al hallazgo por parte de un usuario de varias aplicaciones con malware, en concreto, con código para el minado de la criptodivisa Bytecoin. Ya han sido retiradas de la tienda, así como el resto de aportaciones del mismo autor, “a la espera de nuevas investigaciones”. Pero el debate está abierto: ¿qué ha fallado?

Evidentemente, han fallado los controles del software que se agrega a la tienda, que ya pasan por pruebas automáticas para garantizar que están bien construidos, pero que en materia de seguridad queda claro que no son suficientes. Que haya sido un usuario quien lo descubra por su cuenta dice poco de las medidas empleadas por Canonical para evitar este tipo de situaciones. Dicho lo cual, la respuesta oficial una vez publicada la denuncia ha sido inmediata.

Lo que se sabe es que como poco serían dos aplicaciones de un tal Nicolas Tomb las que incluían el malware, aunque tanto el susodicho como todas sus aportaciones -aparentemente había subido más cosas- han sido retiradas de la tienda y su cuenta dada de baja. Estas aplicaciones contenían un minero que se hacía pasar por systemd para cargarse al inicio del sistema en segundo plano, intentando evitar sospechas. En el código, sin embargo, está lo más llamativo del asunto: myfirstferrari@ protonmail.com era la dirección de correo asociada a este usuario.

Otro aspecto curioso es, al menos para una de las aplicaciones analizadas, que se trataría de software libre reempaquetado como privativo. Es decir, el tal Nicolas Tomb cogió el código fuente del juego 2048 (MIT) y lo distribuyó como privativo, algo que en principio permite su licencia. Se sabe también que las aplicaciones de este personaje están disponibles desde finales de abril, pero se desconoce cuánta gente las habría instalado.

En cuanto al término malware, hay discusiones sobre si calificar así a este tipo de software oculto, pues no atenta directamente contra la privacidad o la seguridad del usuario; pero denominar semejante acción de otra forma no parece lógico, más allá de lo que los expertos puedan considerar dañino o no para el usuario.

Todo esto sucede, además, un par de semanas después de que Canonical anuncie un nuevo mecanismo de alertas de seguridad para los desarrolladores que empaquetan en Snap, lo cual, de nuevo, parece que se queda corto visto lo visto. Si las restricciones para empaquetar y subir algo a los repositorios oficiales de Ubuntu son mucho más estrictas, ¿por qué no deberían serlo para Snapcraft?

El problema de fondo es que los Snaps se integran ahora en el centro de software de Ubuntu y hay que fijarse para saber de qué fuente se está instalando algo, por lo que Canonical tiene que ponerse las pilas ya para que algo así no vuelva a pasar.

 

Fuente: muylinux

¿Quién está en línea?

Hay 2712 invitados y ningún miembro en línea