Neue Herausforderungen bei Flatpak und Snap

  • Moin Moin!

    Quicky-News:

    Die Diskussion um die Vertrauenswürdigkeit von Flatpak- und Snap-Apps hält an. Berichte über manipulierte Crypto-Apps im Snap Store haben erneut Bedenken aufgeworfen. Die Plattformen reagieren mit neuen Verifizierungsverfahren. Auf Flathub erhalten Apps, die direkt vom Entwickler stammen, einen blauen Haken. Doch nicht verifizierte Apps werden nun mit "!Unverified" in roter Farbe gekennzeichnet.

    Es liegt letztendlich beim Anwender, Apps kritisch zu prüfen, bevor sie installiert werden.

    (Adblocker aktiviert?)

    Mehr Infos auf Deutsch 

    Mfg: evilware666

  • Deswegen kommen für mich nur Apps aus den Repos in Frage.

    Das widerspricht sich mit dem letzten Absatz in dem oben verlinkten Artikel:

    Bei den etablierten Repositories der Distributionen ist eine Überprüfung nicht so leicht möglich, hier wird eher ein Grundvertrauen in den Maintainer als Teil des Teams der Distribution vorausgesetzt.“

    Letztendlich ist es immer meine Entscheidung als Anwender und User, was ich installiere. ;)

  • Hallo alle zusammen,

    meiner Meinung nach kann man als normaler Nutzer eh nichts machen.

    Es ist so wie immer, die große Vertrauensfrage zu stellen.

    Es sei denn man ist ein studierter IT-Fachmann oder Programmierer um sämtliche Programme selbst überprüfen zu können.

    Natürlich vertraut man erst mal den großen Anbietern, weil diese ja auch einen Namen haben.

    Sei es Canoncial, Suse, Red Hat oder sogar Microsoft. Die großen Player eben!

    Aber die Vergangenheit lehrt uns leider, dass nichts so ist, wie es sein sollte und schwarze Schafe überall zu finden sind.

    Ich denke da z.B. an den letzten Installer von Ubuntu 23.10

    bedauerlicherweise...

    Gruß Hessen-Dieter :/

  • Deswegen kommen für mich nur Apps aus den Repos in Frage.

    Seit ich nun Arch Linux nutze und alle meine Programme in AUR finde, nutze ich weder Flatpak noch Snap. Ja, in AUR könnten sich auch "böse" Apps einschleichen, aber hier vertraue ich auf die Rückmeldungen der Nutzer zu den jeweiligen Paketen.

    Arch Linux | Gnome | Kernel 6.8.7-arch1-1

    MSI MAG X570 Tomahawk WIFI | AMD Ryzen 9 3900X | 2x 16 GB G.Skill RipJaws V DDR4-3200 | Sapphire NITRO+ AMD Radeon RX 7800 XT | Seasonic Prime PX-750 80+ Platinum

  • Wir können uns einfach eins sicher sein , das es nicht sicher ist ;)

    Es spielt keine Rolle welche distribution und Paket Format.

    Mann sollte daher immer alle und jede Software hinterfragen, weil es sonst niemand macht und genau das sollte sich ändern.


    Es ist genau wie hier im Forum mit Troll User egal wie gut die Administration ist es wird immer welche geben und Mann sollte daher Lösungen anbieten um das zu erschweren ;)


    Ich selbst wäre dafür wie zum Beispiel Google app Store mit ihrem www ( wer - wie - wo ) und Überprüfung vom Anbieter hier zb ( SNAP - flatpak) der nach Überprüfung freigibt :)


    Bis dahin Kinder, immer Augen auf halten was ihr auf dem PC drauf macht und immer daran denken das solche Software euch nackt machen :D

  • Ich freue mich immer darüber wenn ein Titel eines Threads so schnell "veraltet":

    Es wurden in Arch-Linux, Debian (Testing und Unstable), Fedora 40, openSuse Tumbleweed (und wahrscheinlich so ziemlich alle anderen Rolling Release Distributionen) ein Backdoor-Schadprogramm gefunden.

    Das Programm ist in einem "offiziellen" Repository Paket mit dem Namen "xz-utils".

    Die xz-utils sind eine Sammlung von Werkzeugen zur Arbeit mit .xz und .lzma Dateiformaten unter Linux und anderen Betriebssystemen. Diese Dateiformate werden für die Kompression von Daten verwendet, ähnlich wie .zip, .rar, oder .gz.

    Das ist ein Angriff der von langer Hand geplant war. Der Verursacher hat offenbar über Jahre (seit 2021) Upstream im xz-Projekt Bugfixes, etc geschrieben. Und konnte seinen Code so verschleiern das niemanden aufgefallen ist - das die immer etwas mehr tun als er gesagt hat.

    Daher Nein. Paketquelle von Linux-Dsitributonen sind nicht automatisch sicherer als Snap- oder Flatpaks.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • Moin kim88 ,

    habe das auch gerade mit großem Schreck gelesen und bin sehr traurig darüber, was es doch leider für kranke Menschen auf diesem Planeten gibt.

    Anstatt die Technik für sinnvolle Aufgaben zu nutzen, um den Fortschritt weiterzubringen, wird alles zerstört.:(

    Habe mir Arch erst kürzlich installiert, wie könnte ich das Feststellen, ob ich diese Datei etwa auch im System habe? :/

    Gruß Hessen-Dieter

  • [abc@archlinux ~]$ xz --version 
    xz (XZ Utils) 5.6.1
    liblzma 5.6.1

    :huh:

    hier eine Anleitung für Arch Linux User, ich schaue mir das jetzt auch an.

    Link: https://archlinux.org/news/the-xz-pa…een-backdoored/

    Erster Schritt: Mein Arch ist Up to Date.

    [abc@archlinux ~]$ sudo pacman -Syu 
    [sudo] Passwort für abc:
    :: Paketdatenbanken werden synchronisiert …
    core ist aktuell
    extra ist aktuell
    multilib ist aktuell
    chaotic-aur 2,5 MiB 4,40 MiB/s 00:01 [----------------------------------------] 100%
    :: Vollständige Systemaktualisierung wird gestartet …
    Es gibt nichts zu tun

    Den nächsten Schritt verstehe ich nicht (da bei mir beides nicht gibt bzw. die Meldung (Befehl nicht gefunden)

    Upgrading container images

    To figure out if you are using an affected container image, use either

    podman image history archlinux/archlinux

    or

    docker image history archlinux/archlinux

    depending on whether you use podman or docker.

    Edited 2 times, last by ghostbox (March 30, 2024 at 9:15 AM).

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!