Infizierte Pakete im AUR: firefox-patch-bin, librewolf-fix-bin and zen-browser-patched-bin - Pakete enthalten Malware

Quote from Sojan

die Installtion geht ganz easy, fühlt sich dann wie ein Repository - ist es aber nicht.

Och naja, das sehe ich ein wenig anders. So easy ist das oft gar nicht, der Helper hat bei AUR-Paketen deutlich mehr Output und Interaktion mit dem User. Mich macht das munter, und ich gehe dann doch lieber noch mal bei aur.archlinux.org nach dem Paket und seinem PKGBUILD gucken.

Bis heute bin ich da auch sparsam geblieben, habe incl. yay (und zwei chinesischen Noto-Fonts) 13 AUR-Pakete an Bord und sehe aktuell keinen Bedarf, daran was zu ändern.

Quote from Mastertac

Gestern wurde über "Malware in Arch-linux-aur-packages" berichtet und ich frage mich, wenn Linux seine Quellen aus einen "Repositories" zieht,
was hindert es einen darin Schadcode zu verbreiten ? Aus meiner Sicht scheint das generell der direkte Weg, Schadcode auf Linuxrechner zu bekommen, sofern man die gängigen "Repositories" infiltrieren kann.

Stardenver Hat es bereits gesagt. Es ging hier nicht um das ArchLinux Repository. Sondern um das AUR. Im AUR kann halt jeder (ja wirklich JEDER!) eigene "Pakete" reinstellen.

Das ist aber kein reines ArchLinux Problem, diese Gefahr hast du z.b. auch bei den "PPAs" bei Ubuntu oder den "Copr" Repositories bei Fedora. Deswegen gibt es hier ja immer den Warnhinweis bei Fremdpaketen - man sollte der Person/Firma/etc die das anbietet halt wirklich vertrauen und nicht einfach "blind" installieren.

Unabhängig von der Distribution. Sobald man Fremdpakete installiert - muss man prüfen was in diesen Fremdpaketen alles drin ist.

Im Grunde gilt das aber auch unabhängig von Linux für alle Betriebssysteme. Auch wenn du unter Windows eine .exe oder unter MacOS eine .pkg runterlädst und installierst. Solltest du dem Anbieter (und auch der Quelle von wo du runtergeladen hast) vertrauen. Weil halt jeder (ja wirklich jeder) eine .exe oder .pkg auf einer Webseite anbieten kann.

Quote from Mastertac

Naja , ein fremdes Repositories kann man ja auch anlegen. Unter GuideOS werden ja auch Programmteile eingepflegt. Wenn man jetzt an die Repositories heran käme, wäre der Weg frei zur Verbreitung.

Richtig, wenn jemand drittes nun Zugriff auf z.b. das GuideOS Repository bekommen würde kann der dort z.b. ein Update mit Malware für Primo hochladen und es würde bei allen GuideOS Nutzern installiert werden. Das selbe wenn jemand z.b. Zugriff auf das Google Chrome DEB Repository bekommen würde, etc

Hier gibt es aber einen zusätzlichen Schutz. Das ist die sogenannte "Signatur". Pakete in den offiziellen Repositorys (und in der Regel auch bei Drittrepository z.b. das Spotify Repository, oder Google Chrome Repository, etc) sind mit einem GPG Schlüssel signiert. Das ist ein Kryptografischer Schutz und funktioniert vereinfacht so:

GPG Schlüssel werden immer in einem Paar erstellt. Es gibt einen "öffentlichen" und einen "privaten" Schlüssel. Der öffentliche Schlüssel wird beim einrichten des Rpository auf deinem Rechner in deinem System installiert. Deswegen sehen die Sources Files z.b. so aus:

deb [arch=amd64 signed-by=/etc/apt/keyrings/google-chrome.gpg] http://dl.google.com/linux/chrome/deb/ stable main

Der Bereich "signed-by" ist dann jeweils der Verweis auf den öffentlichen Schlüssel des Repository Anbieter der in deinem System hinterlegt ist. Wenn nun Google ein neues DEB mit einem Google Chrome Update baut, wird dieses DEB mit dem privaten Schlüssel (der zum öffentlichen passt) signiert.

Wenn APT auf deinem Rechner nun das neue DEB runterlädt, prüft APT nach dem heruntergeladen (bevor das DEB entpackt wird) mit dem öffentlichen Schlüssel auf deinem System ob das DEB mit genau dem dazugehöigen privaten GPG-Schlüssel signiert wurde. Wenn "Ja" ist alles gut und das Update wird installiert.

Wenn Nein, wird das heruntegeladene DEB gelöscht und dir eine Fehlermeldung angezeigt.

---------------------------

Das bedeutet jetzt vereinfacht. Wenn jemand nun Malware in das Google Chrome Repository bringen will, muss er erstmal die Serverinfrastruktur von Google hacken. Und zusätzlich noch an den privaten GPG Schlüssel für dieses Repository kommen.

Es gibt hier auch grundsätzliche Sicherheitsvorgaben - z.b. haben private GPG, SSH, etc Schlüssel nichts in einer Cloud verloren, etc

Ist das am Ende eine 100% Sicherheit, dass sowas nie passieren kann? Nein 100% Sicherheit gibt es nicht. Aber es muss schon sehr sehr viel gleichzeitig schief laufen, dass jemand sowohl Zugriff auf die Hostings-Infrastruktur vom Anbieter und zum Schlüssel bekommt.

Und nun wieder zurück zum AUR. AUR Pakete (haben im Gegensatz zu PPA bei Ubuntu oder Copr bei Fedora) keine solche Signatur-Schlüssel. Aber alles was im AUR ist muss OpenSource File (PKGBUILD) sein, also man sieht dort vor der Installation des PKGBUILD immer was das Paket genau installiert und was irgendwo heruntergeladen wird. Und man muss bei der Installation bestätigen das Ding gelesen zu haben - und man sollte das auch tun.

Was auch der Grund ist warum AUR Pakete nicht für Anfänger empfohlen werden - weil man sie halt nicht nur lesen sondern auch verstehen sollte.

kim88 Danke, schöne Zusammenfassung.

Quote from kim88

Und man muss bei der Installation bestätigen das Ding gelesen zu haben - und man sollte das auch tun.

...und natürlich bei jedem Update auch wieder. Ist mir auf Dauer zu anstregend, deshalb verzichte ich auf das AUR.

kim88 Danke, für deine wunderbare Erklärung

Quote from Toadie

Also allein die Namen der Pakete sind ja dermaßen untypisch für Linux, dass muss ja auffallen.

Gesunder Menschenverstand war gestern, heutzutage ist alles denkbar. Ich gebe mich da keinen Illusionen mehr hin.

Nimmt wohl auch unter Linux langsam zu: ⚠️Sicherheit: Erneut Malware im AUR entdeckt⚠️

Es kann gut sein, dass wir hier eine der Nebenwirkungen der steigenden Beliebtheit von Linux sehen. Große YouTuber drehen Videos zum Wechsel auf Linux und insbesondere Arch wird oft als tolle Gamin-Distro genannt. Manjaro, EndeavourOS, CachyOS, usw machen es den Leuten dann sehr einfach, alles einzurichten. Das AUR dürfte eine der einfacheren Möglichkeiten sein, das auszunutzen und den Leuten Schadsoftware unterzujubeln.

Viele sehen das AUR als Bestandteil von Archlinux. Und wenn es dann noch möglich ist, aus der Anwendungsverwaltung heraus Programme aus dem AUR zu installieren, dann verwischen die Grenzen immer mehr.

Quote from Wenke

Was ich dabei nicht verstehe, wenn mit dem AUR immer wieder (willentlich) Missbrauch betrieben wird, warum lässt man sich da nicht etwas grundlegendes einfallen, um diesem Misstand entgegen zu treten?

Da ist ja nun nicht der erste Vorfall dieser Art und wird wohl auch nicht der letzte sein, irgendwie bleibt doch dann das AUR so ähnlich wie - Kai aus der Kiste....

Erinnert mich irgenwie am Google Playstore....

Quote from Wenke

Was ich dabei nicht verstehe, wenn mit dem AUR immer wieder (willentlich) Missbrauch betrieben wird, warum lässt man sich da nicht etwas grundlegendes einfallen, um diesem Misstand entgegen zu treten?

Ist halt eine Abwägung zwischen Freiheit und Sicherheit.

Quote from kim88

Ist halt eine Abwägung zwischen Freiheit und Sicherheit.

Und Manpower

Quote from Wenke

Kai aus der Kiste....

Nanana....

Quote from Stardenver

Es kann gut sein, dass wir hier eine der Nebenwirkungen der steigenden Beliebtheit von Linux sehen. Große YouTuber drehen Videos zum Wechsel auf Linux und insbesondere Arch wird oft als tolle Gamin-Distro genannt. Manjaro, EndeavourOS, CachyOS, usw machen es den Leuten dann sehr einfach, alles einzurichten. Das AUR dürfte eine der einfacheren Möglichkeiten sein, das auszunutzen und den Leuten Schadsoftware unterzujubeln.

So sehe ich das auch!

Jetzt ist das Interesse an Arch-Deviraten (EOS, CachyOS,...) gewachsen und darum werden diese Distris auch für "böse Menschen" interessant.
Die Systeme lassen sich mittlerweile auch einfach installieren.

Daher wird der Sinn des AUR, wofür es damals eben ins Leben gerufen wurde, eigentlich Missverstanden.
Es wird als ganz "normale" Quelle von ARCH-Software gesehen.

Das ist es eben nicht und das war es auch nie. Es ist eben eine Möglichkeit zu Software zu kommen die dann auch für Arch kompiliert wird.

Arch User sind da aber immer schon vorsichtig gewesen und haben kontrolliert was sie da installieren.

Für viele Windows Umsteiger wird es aber eben als reine Software-Quelle gesehen.

Ich habe das AUR immer mit bedacht genutzt, und da meistens auch hauptsächlich für Treiber.
Wenn es aber um ein Programm geht, schaue ich immer ob es nicht auch als Flatpak, Appimage oder Snap zur Verfügung steht.
Klar kann einem auch dort etwas untergejubelt werden, aber es wird meist auch zeitnah erkannt.
Wie auch diesmal im AUR - wurde auch schnell erkannt und gelöscht.
Gefahr erkannt - Gefahr gebannt

Für alle User die Arch und deren Derivate verwenden:
Seid achtsam und schaut was ihr installiert.

Quote from Wenke

Was ich dabei nicht verstehe, wenn mit dem AUR immer wieder (willentlich) Missbrauch betrieben wird, warum lässt man sich da nicht etwas grundlegendes einfallen, um diesem Misstand entgegen zu treten?

Da ist ja nun nicht der erste Vorfall dieser Art und wird wohl auch nicht der letzte sein, irgendwie bleibt doch dann das AUR so ähnlich wie - Kai aus der Kiste....

Eine 100 Prozentige Sicherheit wird es nie und nirgends geben.
Es ist halt so, wenn viele Menschen an einem Projekt arbeiten, kann sich auch mal das eine oder andere schwarze Schaf in die Herde mischen.

Quote from Mastertac

Erinnert mich irgenwie am Google Playstore....

Ein sehr guter Vergleich - finde ich.