Streifenschmerle
Anmeldungsdatum: 5. April 2006
Beiträge: 459
|
Hallo, Alan Pope (ein ehemaliger Canonical-Mitarbeiter) hat kürzlich einen detaillierten Blogpost (auf Englisch) über einen Sicherheitszwischenfall im Snap Store Anfang Februar veröffentlicht. Da ich hier noch nichts zu diesem Thema finden konnte, wollte ich sicherheitshalber darauf hinweisen. Kurze Zusammenfassung, was passiert ist:
Eine gefälschte, bösartige Version der Bitcoin-Wallet-App Exodus wurde am 6. Februar im Snap Store veröffentlicht und stand dort für 6 Tage zum Download bereit. Beim Start fordert diese App zur Eingabe einer Recovery-Passphrase für das eigene Wallet auf. Kommt man diesem nach, wird der Inhalt des eigenen Wallets geleert und zum Angreifer transferiert! Offenbar hat eine Person dadurch eine Summe von etwa 490.000$(!) verloren! Nachdem die App gemeldet wurde, wurde sie von Canonical aus dem Store genommen (niemand kann also diese App neu runterladen).
Falls jemand hier diese App runtergeladen hat:
Auf keinen Fall dort irgendwelche Daten eingeben! Die App löschen mit: | snap remove --purge exodus
|
Ergänzung: Canonical liefert mittlerweile per Update einen leeren Exodus-Snap aus, wodurch die böswillige Version bei eingeschalteten Auto-Updates automatisch entfernt wird.
Weitere Handlungsempfehlungen
Bis auf weiteres auch keine anderen Krypto-Apps aus dem Snap Store nutzen. Alan Pope hat eine Liste mit weiteren Krypto-Apps aus dem Snap Store zusammengestellt, bei denen er rät, diese (falls installiert) ebenfalls sicherheitshalber mit sudo snap remove --purge <app-name> zu deinstallieren:
bip-web
bitwallet
btcwal
btcwallet
coinbase
cryptowal
electrum-wallet2
exodus
exoduswal
exoduswalet
exodwallet
guarda
komodo
ledger-live-wallet
ledger1
ledgerlive
liveledger
metamask
new-electrum-wallet
sparrow
sparrow-wallet
sparrowwalet
sparrowwallet
trezor-wallet
trezorwallet
trustwallet Weitere Details könnt ihr im oben verlinkten Blogpost nachlesen. Viele Grüße, Jan
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 54817
Wohnort: Berlin
|
Ach, wie war das noch nach dem 2048-Snap, das Crypto-Währung schürfte? Man würde jetzt ganz bestimmt ganz doll daran arbeiten, dass sowas nie nie mehr passieren könne.
|
Streifenschmerle
(Themenstarter)
Anmeldungsdatum: 5. April 2006
Beiträge: 459
|
tomtomtom schrieb: Ach, wie war das noch nach dem 2048-Snap, das Crypto-Währung schürfte? Man würde jetzt ganz bestimmt ganz doll daran arbeiten, dass sowas nie nie mehr passieren könne.
Schlimmer: Es gab sogar erst letzten September bereits einen sehr ähnlichen Angriff (bösartige Bitcoin-Wallet-App, Geldverlust) im Snap Store... Mich erschüttert, wie wenig daraus offenbar gelernt wurde.
|
trollsportverein
Anmeldungsdatum: 21. Oktober 2010
Beiträge: 4290
|
Und wie will man das verhindern, bei Fertigbinarys? Wenn doch der Anreiz so hoch ist, so viel Profit bereits auf die Schnelle abzugreifen? Eine Virenklingel betreiben geht doch auch ins Leere, bei frisch produzierter Schadsoftware. Das ist doch auch über die jeweiligen Gegenstücke im Smartphone-Bereich zu hören, dass sich in die zentralen Verteiler-Stores immer wieder Gauner einschleichen, die dort immer wieder mal Schadsoftware unterschieben. Auch nur kurz die Suchmaschine befragt bringt es doch ans Licht:
Wo Trog ist, sammeln sich die Schweine.
|
sh4711
Anmeldungsdatum: 13. Februar 2011
Beiträge: 1075
|
trollsportverein schrieb: Und wie will man das verhindern, bei Fertigbinarys?
Durch "verified accounts"! 🙄 das da oben habe ich wirklich geschrieben? Ich dachte wirklich die "verified accounts" sind verifiziert. Nur was da verifiziert wird ist unzureichend. Es wird verifiziert, das der Entwickler seinen Vor- und Zunamen inkl. E-Mailadresse angibt und via E-Maillink bestätigt. Quelle Letzt endlich bedeutet das, dass man grundsätzlich bei Produkten aus dem snapstore davon ausgehen muss das es sich um Fremdquellen handelt. Im snapstore fehlen solche Warnhinweise, wie sie hier üblicher Weise im uu.de wiki ausgegeben werden. Ein solcher Warnhinweis fehlt auch in den wiki Artikeln hier:
Wenn ich mich hier irren sollte, bitte ich um Rückmeldung ... ansonsten werde ich, bei Zeiten, bei den genannten Wikiartikel einen Hinweis platzieren. @Streifenschmerle Vielen Dank für deine Info. Ich muss sagen, ich bin viel zu treu doof mit den "verified accounts" umgegangen. Ich hatte mir darunter mehr vorgestellt.
|
Kätzchen
Anmeldungsdatum: 1. Mai 2011
Beiträge: 6901
Wohnort: Technische Republik
|
sh4711 schrieb: Ich dachte wirklich die "verified accounts" sind verifiziert.
Der Uploader von https://snapcraft.io/firefox hat einen "Verified Account",erkennbar am Haken neben dem Namen. Das heißt soviel ich weiß, das der Uploader der Original Hersteller der Software oder vom Hersteller genehmigt ist.
|
sh4711
Anmeldungsdatum: 13. Februar 2011
Beiträge: 1075
|
Kätzchen schrieb: sh4711 schrieb: Ich dachte wirklich die "verified accounts" sind verifiziert.
Der Uploader von https://snapcraft.io/firefox hat einen "Verified Account",erkennbar am Haken neben dem Namen. Das heißt soviel ich weiß, das der Uploader der Original Hersteller der Software oder vom Hersteller genehmigt ist.
😬 Du hast recht, in der (Quelle:creating-your-developer-account) ist die Rede von einem developer account und nicht von einem "verified account" ... also nehme ich meine zu vorgemachte Aussage vollumfänglich zurück. Werde mal prüfen wie man einen "verified accounts" anlegt, und was da verifiziert wird. Danke Kätzchen
|
sh4711
Anmeldungsdatum: 13. Februar 2011
Beiträge: 1075
|
Um ein verified account zu bekommen oder ein star developer zu werden ist es doch nicht nur notwendig ein Formular auszufüllen.
Für den standard developer account reicht es wie zuvor beschrieben das Web-Formular auszufüllen. Hier wird keine eingehende Prüfung vorgenommen. sh4711 schrieb: trollsportverein schrieb: Und wie will man das verhindern, bei Fertigbinarys?
Durch "verified accounts"!
Sollte so funktionieren, andererseits mit genügend krimineller Energie geht da vielleicht doch noch was, aber es ist bei weitem nicht so einfach und trivial, wie ich es hier gepostet habe. Entschuldigt bitte die Falschinformation. Gruß
sh
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29564
Wohnort: WW
|
Hallo, Streifenschmerle schrieb: tomtomtom schrieb: Ach, wie war das noch nach dem 2048-Snap, das Crypto-Währung schürfte? Man würde jetzt ganz bestimmt ganz doll daran arbeiten, dass sowas nie nie mehr passieren könne.
Schlimmer: Es gab sogar erst letzten September bereits einen sehr ähnlichen Angriff (bösartige Bitcoin-Wallet-App, Geldverlust) im Snap Store... Mich erschüttert, wie wenig daraus offenbar gelernt wurde.
Ihr seht das viel zu negativ. Wenn das Snap Store bzw. snaps ein lohnenswertes Ziel für Schadsoftware geworden sind, dann heißt das einfach, dass snaps im Mainstream angekommen sind und das Format anscheinend die kritische Grenze zur Schadsoftwarelukrativität überschritten hat. Damit sind Linux-Installationen, die snapd installiert haben (also realistischer Weise primär *buntu Installation) endlich auf Augenhöhe mit Windows und die Linux-Nutzer können endlich ihr historisch bedingten Minderwertigkeitskomplexe gegenüber Windows ablegen. Was ein Erfolg für Linux und Ubuntu!
Der Uploader von https://snapcraft.io/firefox hat einen "Verified Account",erkennbar am Haken neben dem Namen. Das heißt soviel ich weiß, das der Uploader der Original Hersteller der Software oder vom Hersteller genehmigt ist.
Das steht auch schon länger so im Wiki: snap (Abschnitt „Bezugsquelle-snapcraft-io“) Gruß, noiseflor
|
Streifenschmerle
(Themenstarter)
Anmeldungsdatum: 5. April 2006
Beiträge: 459
|
Achtung, es geht leider weiter mit betrügerischen Apps im Snap Store: Dieses Mal wurden gleich zehn(!) gefälschte Crypto-Apps hochgeladen - und das wiederholt! (Die Apps wurden zwischenzeitlich entfernt - vorerst.) Also weiterhin sehr vorsichtig bleiben bei Software aus dem Snap Store!
|
Udalrich
Anmeldungsdatum: 15. Mai 2019
Beiträge: 533
|
Danke für die Hinweise, Streifenschmerle. Streifenschmerle schrieb: tomtomtom schrieb: Ach, wie war das noch nach dem 2048-Snap, das Crypto-Währung schürfte? Man würde jetzt ganz bestimmt ganz doll daran arbeiten, dass sowas nie nie mehr passieren könne.
Schlimmer: Es gab sogar erst letzten September bereits einen sehr ähnlichen Angriff (bösartige Bitcoin-Wallet-App, Geldverlust) im Snap Store... Mich erschüttert, wie wenig daraus offenbar gelernt wurde.
Das sagt einiges über Canonical aus. Und daher beobachte ich ihren Snap-Quark nur interessehalber. Und Alan Pope schreibt im von Dir referenzierten jüngsten Blog-Artikel von vorgestern, 18. März 2024 :
Conclusion It’s trivially easy to publish scammy applications like this in the Canonical Snap Store, and for them to go unnoticed. I was somewhat hopeful that my previous post may have had some impact. It doesn’t look like much has changed yet beyond a couple of conversations on the forum. It would be really neat if the team at Canonical responsible for the store could do something to prevent these kinds of apps before they get into the hands of users. I’ve reported the app to the Snap Store team. Until next time, Brenda!
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29564
Wohnort: WW
|
Hallo,
Also weiterhin sehr vorsichtig bleiben bei Software aus dem Snap Store!
Ich würde eher sagen, dass man bei jeglicher Art von Crypto-Bitcoin-whatever Wallets von Anbieter $FOO vorsichtig sein sollte. Es ist ja nicht so, dass der Müll nur wie snap verbreitet wird. snap in allen Ehren, aber so krass ist die Verbreitung jetzt auch nicht, dass sich der Fokus alleine auf snaps lohnen würde. Gruß, noisefloor
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 54817
Wohnort: Berlin
|
noisefloor schrieb: Ich würde eher sagen, dass man bei jeglicher Art von Crypto-Bitcoin-whatever Wallets von Anbieter $FOO vorsichtig sein sollte.
Das ist soweit richtig - nur ist der Snap-Store nunmal die einzige vorinstallierte Quelle, in die man offensichtlich ohne große Mühe was-auch-immer hochladen und somit dem Nutzer anbieten kann. Ergo: Doch, das ist explizit ein Snap-Problem...
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29564
Wohnort: WW
|
Ok, fassen wir zusammen: wer Crypto-Wallets UND Ubuntu mit snap nutzt hat direkt zwei Probleme *SCNR* Gruß, noisefloor
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 54817
Wohnort: Berlin
|
Da stimme dir mal zu 100% zu. 😈
|