snapcraft est dangereux

krodelabestiole · Le 11/04/2024, à 19:58

une vidéo édifiante sur l'état actuel du snap store :
https://invidious.fdn.fr/watch?v=kzB6fHL_2Pg
(désolé pour l'anglais australien, il y a des sous-titres automatiques qui peuvent aider, ils ont juste un peu de mal avec les AUR, flatpak, canonical et autres snapcraft)
(je voulais la poster depuis un moment, je n'ai pas eu le temps)

pour résumer :

à ma connaissance c'est au moins la 4e fois que du malware est trouvé sur snapcraft - et depuis 2018.

https://popey.com/blog/2024/03/exodus-w … art-three/
on installe une application (qui existe) pour gérer ses bitcoins, on peut voir un petit ✓ safe vert dans la logithèque et sur snapcraft.
on entre des informations de sécurité pour gérer ses bitcoins, un message d'erreur apparaît.
à partir de là le compte est vidé et les bitcoins envoyés sur le compte d'un black hat.

- le petit ✓ safe vert signifie simplement que l'application est confinée (c'est tout).
- l'application n'a évidemment pas été proposée par le développeur mais par un black hat
- ce n'est d'ailleurs même pas une application mais un formulaire web déguisé
- le black hat ("digisafe0000" ) a proposé une dizaine d'autres applications du même type le même jour
- la même chose s'est produite le lendemain avec un autre compte ("codeshield0x0000" - clairement la même personne)
- canonical n'a toujours pas mis en place la moindre vérification humaine des comptes, ou des logiciels proposés dans son magasin

il est donc incroyablement facile pour n'importe qui (à peine développeur) de profiter de la confiance que les utilisateurs ont en canonical pour introduire des malwares sur leurs systèmes.

et plutôt qu'engager quelqu'un ne serait-ce que pour vérifier que les applications sont bien proposées par les développeurs, canonical préfère se pencher sur la question de savoir si un mineur de bitcoin planqué dans un logiciel est vraiment un malware ?

je trouve ça incroyable.
un magasin d'application est peut-être le maillon le plus critique de la chaîne d'un système d'exploitation. les contributeurs y soumettent des programmes qui vont tourner sur les machines de millions d'utilisateurs, et qu'ils pourront modifier et mettre à jour à n'importe quel moment.
ici aucune vérification n'est faite, et canonical ne semblent absolument pas prendre leurs responsabilités.

devant un état des lieux aussi désastreux je déconseille à qui que ce soit d'utiliser snapcraft.
je pense que canonical mériterait un procès des personnes lésées.

à noter le problème ne se pose (évidemment) pas sur flathub.

iznobe · Le 11/04/2024, à 21:41

Salut , ba forcément puisque justement , ils ne veulent plus s ' occuper de gerer le develloppement et l' empaquetage des logiciels distribués ...

Cela dit , je suis quand meme d' accord sur le fait que les personnes lésées devraient faire une action en justice contre les fournisseurs de contenu illicite ainsi que contre ceux qui les diffuses sans aucun controle .

je ne regrette pas d ' avoir banni tous les snaps de mes machines depuis que ca a été possible

je ne sais pas comment est geré flathub , mais je sais que linux mint c' est tourné directement vers les flatpak .

Quand on voit des gens qui installe des depots ou PPA a tire la rigot , sans meme jeter un oeil au code ou sur le net pour voir ce qu ' ils contiennent , ils ne faut pas s ' etonner de voir ce genre d' abus se multiplier , surtout si la porte est grande ouverte ...
et à mon avis , on en est qu' au debut . Ca risque de vite se savoir et tous les malfrats d ' internet vont vite s ' y mettre , si il n' y a toujours pas de controle dans quelques temps .
c' est pour cela que lorsque je met un depot dans mon systeme , je " tue " automatiquement tout ce dont je n ' ai pas besoin , et j' evite au maximum de mettre des depots non officiels . ca n' empeche rien , mais ca limite dejà .

De toute maniere , ce probleme est global et pas nouveau . peu importe l' empaquetage . le truc , c ' est que si personne ne contrôle ( et c ' est bien ce que veux canonical en priorité sous pretexte de securité accrue , la blague ... ) , tout le monde ( ou presque ) peut mettre n ' importe quoi dans un snap et le metter sur le snap store .
si je me rappelle bien ( c ' est ce que j' ai retenu en tout cas ) , c ' est de cette façon qu ' ils justifiaient et expliquaient , le " truc " a la sortie des 1er snaps . il doit y avoir des liens ( encore valide certainement ) dans d' autre discussion sur le forum a propos des snaps .
Honnetement , je ne suis que tres peu etonné de leur façon de gerer la chose , puisqu ' ils ont clairement dit qu ' ils ne voulaient plus perdre de temps avec ca .

Dernière modification par iznobe (Le 11/04/2024, à 21:46)

krodelabestiole · Le 11/04/2024, à 21:59

iznobe a écrit :

Salut , ba forcément puisque justement , ils ne veulent plus s ' occuper de gerer le develloppement et l' empaquetage des logiciels distribués ...

non pas forcément : c'est aussi le cas de flathub, de l'apple store, du play store google, du microsoft store, etc. ce n'est pas open bar sur ces dépôts !
il y a un minimum de surveillance humaine sur ce qui est proposé. snapcraft fait ici figure d'exception.

soit ils ont une confiance inconsidérée en l'humanité, soit ils sont très fainéants et irresponsables. je ne crois pas à la première. ils sont proches de leurs sous ? ce calcul me semble franchement mauvais.
pour moi c'est incompréhensible.

iznobe · Le 11/04/2024, à 22:09

c' est surtout inconscient et inadmissible .
on sait qu ' ils manquent de moyen ( personnel ) et qu ' ils ne veulent plus gerer les paquets annexes . donc , ils ont laissé barboter le bébé , et voilà le ( début du ) résultat ...

Apres hors mis le flahub , que je ne connais pas non plus hors mis de reputation , les 3 autres n ' ont pas les meme moyens financiers et personnels je suppose ) .
De memoire , j ' ai vu passer des cas a peu pres similaire sur le play store quelques mois apres le lancement de ce dernier ( mais ils ont reagi relativement vite , je doute que canonical fasse la meme chose ) . M$ et apple je n' utilise pas .

ce calcul me semble franchement mauvais.

on est d' accord , et si ils ne font rien tres vite , ca risque de " sentir mauvais pour la suite " . imagine qi une 50 aines de gars arrivent avec les meme objectifs que celui qui a mis les 10 snaps " voleurs " ... ca peut vite tourner à la catastrophe

bruno · Le 12/04/2024, à 12:07

Rien d'étonnant…
Cela fait des années que je dis que ces systèmes de distribution et d'installation de logiciels sont une régression en terme de sécurité, de performances, de gaspillage de ressource, de liberté, etc. par rapport aux paquets gérés par la distribution.

krodelabestiole a écrit :

non pas forcément : c'est aussi le cas de flathub, de l'apple store, du play store google, du microsoft store, etc. ce n'est pas open bar sur ces dépôts !

Ces systèmes ont tous à un moment ou un autre distribué des logiciels malveillants ou a minima des logiciels non mis à jour / patchés présentant des failles de sécurité.

Laconique · Le 12/04/2024, à 20:06

Hum ! Si vous saviez le nombre d'appli douteuses qu'on peut trouver sur le microsoft store ou le playstore, vous ne vous plaindriez pas autant de la boutique de snap. Le problème est général : plus personne ne se donne la peine de vérifier ce qui est mit sur le magasin d'application. Sauf Apple, qui fait une analyse approfondie des appli qu'on lui propose. Et ça se ressent : il y a eu beaucoup moins d'appli qui ont été banni de l'appstore que d'application bannies d'autres magasins d'applications.

Mais c'est bon à savoir. Je vais éviter la boutique de snap à partir de dorénavant.

Dernière modification par Laconique (Le 12/04/2024, à 20:07)

krodelabestiole · Le 12/04/2024, à 23:00

bruno a écrit :

Rien d'étonnant…

loin de moi l'envie de lancer un énième débat sur snap et flatpak vs deb et rpm.
ici c'est la dimension du laxisme qui m'interloque.

ça fait des années que canonical prétend qu'ils vont "faire quelque chose pour éviter que ça se reproduise" à chaque fois qu'on s'interroge sur la fiabilité de snapcraft.
résultat au bout de 6 ans d'existence de la plateforme et après plusieurs événements largement problématiques, un mec arrive et propose 10 logiciels de gestion financière - connus et développés par des éditeurs différents - le même jour, et refait pareil le lendemain, (et avec le pseudo digital_safe0000 oÔ) sans avoir à contourner aucune protection et sans déclencher d'alerte nulle part.
pompon sur la cerise : snapcraft présente ces applications aux utilisateurs avec une petite icône verte "safe".

ben là perso je suis quand-même un minimum "étonné" !

il y a des raisons évidentes qui font des apple store et autre magasin microsoft des cibles privilégiées.
canonical sont les seuls qui se fichent ostensiblement du problème. on s'y prend pas autrement pour saboter son image.

une des victimes y a quand-même perdu 500.000 $, je suis pas sûr qu'elle recommandera ubuntu autour d'elle...

krodelabestiole · Le 12/04/2024, à 23:29

ça me semble pourtant pas la mer à boire...
quand un nouveau contributeur propose un logiciel, on s'assure manuellement qu'il s'agit du développeur : on vérifie que son adresse mail (vérifiée automatiquement) corresponde au nom de domaine de l'éditeur, ou on lui demande de répondre à un message envoyé à l'adresse de contact liée au logiciel.

alors sûrement les autres cas sont quand-même à traiter au cas par cas, mais en principe avec ces systèmes il me semble que c'est le développeur ou l'éditeur qui propose son logiciel dans la grosse majorité des cas.

j'ai pas les chiffres pour snapcraft, mais sur flathub il y a 2500 apps. en 6 ans ça fait une app par jour, pour un temps plein ça me semble être un bon placard.

geole · Le 13/04/2024, à 12:44

Mesures prises

C'est du style " venez-vous aux états-unis pour tuer le président ?".

Il faudra donc montrer un "bon profil" pendant quelques mois avant de mettre en place le dispositif.

quelques statistiques apple

Dernière modification par geole (Le 13/04/2024, à 13:06)

Laconique · Le 13/04/2024, à 16:35

Je n'ai pas dit qu'Apple c'était parfait, j'ai dit que c'était moins pire.

De plus, vous vous attendiez à quoi de la part d'une distribution maintenue par une entreprise ? Entreprise qui doit faire des bénéfices ou mourir. Si vous n'êtes pas satisfait des orientations économiques prises par Canonical, libre à vous de vous trouver une distribution communautaire ou maintenue par une association. Ce n'est pas les distributions Linux qui manquent.

krodelabestiole · Le 13/04/2024, à 19:00

Laconique a écrit :

Je n'ai pas dit qu'Apple c'était parfait

je ne vois pas où tu as vu qu'on te contredisait, ni ce qui explique cet énervement à "notre" égard dans le ton...

Laconique a écrit :

vous vous attendiez à quoi de la part d'une distribution maintenue par une entreprise ?

Red Hat est maintenu par une entreprise, ça n'empêche pas que les services qu'elle fournit soient très corrects.
le rapport que j'y vois irait d'ailleurs plutôt dans l'autre sens : comme je le vois canonical a largement les moyens d'engager quelqu'un pour surveiller ce qui se passe sur son service fleuron, ce qui ne serait pas forcément le cas d'une asso, et a au passage une image à soigner.

... et aussi je ne crois pas que le sujet soit ici de choisir une distro ou une autre ?

krodelabestiole · Le 14/04/2024, à 00:58

geole a écrit :

Mesures prises

merci pour l'info !

Canonical a mis en place une nouvelle politique consistant à effectuer des revues manuelles pour toutes les nouvelles inscriptions sur Snap. Les équipes d’ingénierie vérifieront les noms et les intentions des applications en contactant les éditeurs. Toute application soupçonnée d’être malveillante ou liée aux portefeuilles de crypto-monnaie sera rejetée.

ça devrait quand-même aider, j'espère juste qu'ils ne vont pas mettre cette directive en place 3 semaines puis l'oublier comme ça a été le cas avec les précédentes.

quoi que... en fait ça ne me dérangerait pas que snap se vautre, vu que c'est juste flatpak en moins bien.

frenchy82 · Le 14/04/2024, à 14:37

krodelabestiole a écrit :

en fait ça ne me dérangerait pas que snap se vautre, vu que c'est juste flatpak en moins bien.

En ce qui concerne ce qui se trouve sous le capot, je suis incapable d'avoir le moindre avis, mais a l'utilisation, je constate tout de même que snap est bien plus rapide maintenant que flatpak notamment sur le démarrage

Juste en comparant des applis comme brave par exemple, il n'y a pas photo

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 11/04/2024, à 19:58

snapcraft est dangereux

#2 Le 11/04/2024, à 21:41

Re : snapcraft est dangereux

#3 Le 11/04/2024, à 21:59

Re : snapcraft est dangereux

#4 Le 11/04/2024, à 22:09

Re : snapcraft est dangereux

#5 Le 12/04/2024, à 12:07

Re : snapcraft est dangereux

#6 Le 12/04/2024, à 20:06

Re : snapcraft est dangereux

#7 Le 12/04/2024, à 23:00

Re : snapcraft est dangereux

#8 Le 12/04/2024, à 23:29

Re : snapcraft est dangereux

#9 Le 13/04/2024, à 12:44

Re : snapcraft est dangereux

#10 Le 13/04/2024, à 16:35

Re : snapcraft est dangereux

#11 Le 13/04/2024, à 19:00

Re : snapcraft est dangereux

#12 Le 14/04/2024, à 00:58

Re : snapcraft est dangereux

#13 Le 14/04/2024, à 14:37

Re : snapcraft est dangereux

Pied de page des forums