Es el asunto del que todo el mundo habla. Un malware se ha colado en la tienda oficial de paquetes snaps, en forma de juego trucho y con capacidades de criptominado.

Unas líneas de JavaScript en un juego llamado “2048buntu” (fork del original 2048, pero bajo licencia propietaria y presente en la tienda desde finales de abril), camuflado como si fuera un proceso de systemd y una dirección de email algo sospechosa, hicieron saltar las alarmas.

En este caso no era algo que pusiera en peligro la seguridad de nuestros datos, pero evidentemente si podía tener un efecto sobre el rendimiento del equipo y el consumo de energía.

Una vez detectado el problema gracias a un usuario que dio la voz de alarma en GitHub, los responsables de Canonical rápidamente procedieron a su eliminación, así como del resto de snaps que había subido el creador de dicho malware. Se espera además una investigación del incidente.

Una reacción adecuada, que sin embargo no impide plantearnos algunas dudas respecto a como manejan en Ubuntu este tema.

Empezando por su definición. ¿Que es una snap? os preguntaréis algunos. Veamos la definición oficial presente en la web de snapcraft:

Los snaps son paquetes de software en contenedores que son simples de crear e instalar. Se actualizan automáticamente y se pueden ejecutar de forma segura. Y debido a que incluyen sus dependencias, funcionan en todos los principales sistemas Linux sin modificaciones.

“De forma segura”…deducimos que no se refieren a los controles de calidad respecto a las snaps que son subidas a la tienda, sino a su mecanismo de ejecución y como interacciona con el resto del sistema y aplicaciones.

Recordemos que frente a otras soluciones como Flatpak (que soportan múltiples repositorios y tiendas), las snaps utilizan un repositorio centralizado dependiente de Canonical. Uno de los mayores problemas a la hora de de controlar la calidad de las aplicaciones incluidas, es que dicho repositorio está abierto a programas de tipo privativo y no existe ningún control sobre quien los sube, dando la impresión de que el proceso de aprobación de las apps es automático.

Flatpak, AppImages, snaps… son soluciones interesantes porque simplifican la distribución de software del lado del desarrollador y permiten al usuario de distros de ciclo regular acceder a versiones nuevas de sus programas. Además sus capacidades de aislamiento en combinación con otras partes del sistema como Wayland o suites de seguridad tipo AppArmor, son un punto a su favor.

Con todo a día de hoy, las sigo viendo como algo excepcional y personalmente la última opción a la hora de instalar algo. En Ubuntu sigo prefiriendo los paquetes deb y el gestor de paquetes apt a pesar de algunas de sus aristas (algo lento para mi gusto y con un manejo de los paquetes huérfanos también discutible). Y puesto que tampoco es mi sistema principal, no tengo esa ansia de estar a la última en cuanto a programas.

Sin mencionar que las snaps ocupan más espacio que un paquete tradicional y todavía tienen menos sentido en distros rolling releases como Arch Linux, ya de por si imbatibles en cuanto a actualizaciones o disponibilidad de paquetes, gracias a la implicación de su comunidad de usuarios.

Incluso repositorios comunitarios del estilo de AUR son actualmente más fiables, puesto que dan la oportunidad de revisar de forma previa el script de instalación, comprobar el grado de popularidad y las fuentes de donde proviene el software. Obviamente no todos los usuarios lo hacen, pero en Arch Linux –al contrario que Ubuntu y otras distros– si existe una cierta costumbre al respecto.

No es algo excepcional esto del malware, en la misma Google Play con Android se ve todos los días, pero no por ello es menos inquietante. Así que habrá que estar atento a que medidas toma Canonical para reforzar la seguridad de su tienda de aplicaciones snaps, no solo a nivel de inserción de paquetes sino también de actualizaciones (o la falta de ellas).

Y los usuarios que opten por descargar snaps en vez de utilizar los repositorios de su distro, tendrán que tomarlas con el mismo grado de precaución que cualquier otro paquete proveniente de una fuente no oficial.

Y sobre todo si ven un correo electrónico en el código con la palabra Ferrari, desconfíen. 🙂