MuyLinux J.Pomeyrol  

Canonical da explicaciones por el “malware en la Snap Store” y…

snap

Terminamos la semana como la comenzamos, hablando de las aplicaciones con malware que se colaron en la Snap Store y de las explicaciones que ha dado Canonical sobre este asunto, con un ligero cambio con respecto a la noticia del otro día: este es un artículo de opinión. Y, en mi opinión, las explicaciones de Canonical no han estado a la altura de su reacción inicial.

Como ya os contamos, el tema gira en torno a un par o más de aplicaciones que una misma persona subió a la tienda de Snaps, esa que Canonical ha incrustado en el centro de software de Ubuntu más allá de lo razonable -están empezando a reemplazar ciertas aplicaciones de Deb a Snap- y que, peor aún, promociona principalmente en entornos profesionales, al tiempo que intenta estandarizar a lo largo y ancho del ecosistema de GNU/Linux. Dichas aplicaciones contenían un minero de criptodivisas que se ejecutaba en segundo plano, minando de paso la CPU del desdichado que las hubiese instalado y beneficiando económicamente a su autor, un tal Nicolas Tomb.

Pues bien, alguien bajo el nombre de Nicolas Tomb apareció hace unos días en la noticia publicada por OMG! Ubuntu! para dejar un único mensaje en el que explicaba que lo hizo para monetizar el software, y porque las condiciones del servicio no lo prohibían expresamente, para acto seguido disculparse por no haberlo avisado en la descripción de cada aplicación. ¿Es este un comentario del “verdadero” Nicolas Tomb? Es imposible de verificar, pero después de leer el comunicado de Canonical, tiene toda la pinta de serlo.

En Ubuntu Inisghts, alguien de Canonical escribe:

El viernes pasado (11 de mayo de 2018) nos enteramos de que un snap minaba criptomonedas en segundo plano mientras la aplicación se ejecutaba. La implicación práctica de esto [el minero] es el uso excesivo de recursos locales en el sistema de un usuario, mucho mayor de lo que una aplicación típica usaría, consumiendo más energía de lo que se esperaría. El efecto net [la conexión a Internet] es un intercambio de una pequeña cantidad de información no personal y recursos de cómputo que equivale a ingresos para el editor en cuestión, proporcional a los recursos utilizados.

A partir de ese punto, recuerdan que todas las aplicaciones de ese autor han sido eliminadas y su cuenta suspendida, algo que, también conviene recordar, hicieron en tiempo récord desde que se publicó la denuncia. Pero esa es otra: no lo descubrieron ellos, sino un usuario. Y añaden: “serán reeditadas con el contenido adecuado por una persona de confianza, pero esto plantea algunas preguntas interesantes que vale la pena debatir“.

La primera de las “preguntas interesantes” es si se trata de un hecho “perjudicial, ingenuo o interesante”… y tiene un poco de todo. El problema, claro está, es que Nicolas Tomb se lo había callado. Como una tumba. Y eso es lo que en Canonical no han aceptado. Dicho de otra forma, dado que “el minado de criptodivisas no es ilegal o deshonesto por sí mismo”, comentan, lo reprobable es que no lo hubiese explicitado en la descripción de las aplicaciones. Si esto os parece surrealista, pensadlo de nuevo, pero cambiando al “pequeño Nicolás” Nicolas este por un proyecto con el que os gustase contribuir, pero no podéis.

Por ejemplo, imaginad que KDE, GNOME o incluso una aplicación como Firefox o VLC, diesen la opción de ejecutar un minero que les generase beneficios. Hilando más fino, imaginad que se hiciese de manera inteligente, adaptando el consumo al uso del sistema y sin que notarais un perjuicio en el rendimiento, además de, por supuesto, controlando en todo momento el proceso en cuestión. Personalmente, no lo veo una idea descabellada, siempre que se haga con transparencia absoluta. Pero no es el caso que nos ocupa.

No lo es, porque el misterioso Nicolas Tomb, quien se disculpa y va más allá, dejando caer que el dinero generado por su “desliz” lo donará a Ubuntu, no jugó limpio desde el principio. A saber:

  • Hacer algo así sin avisarlo, por mucho que las condiciones del servicio no lo prohíban expresamente, es no ir con la verdad por delante.
  • Que myfirstferrari@protonmail.com sea la dirección de correo que figura en el código de cada aplicación de Tomb, es simplemente curioso por sí mismo, pero en conjunto resulta… WTF?
  • Al menos una de las aplicaciones publicadas por Tomb, un juego llamado 2048buntu, basado a su vez en el juego libre 2048 y cuya única diferencia con este es un cambio en los colores para adaptarlo a Ubuntu, pero que Tomb publica bajo licencia privativa, es indecente, por mucho que la licencia lo permita.
  • Canonical da a entender que el minero solo se ejecutaba junto con la aplicación de marras, mientras que en OMG! Ubuntu! comentan que añadía un script para iniciarse con la sesión y no solo eso: el proceso se hacía pasar por algo de systemd, según confirma el usuario que reportó el problema en un primer momento. Un horror.

¿Pero de verdad con estos antecedentes hay que darle un voto de confianza a ese tipo, o temer llamar a lo que ha hecho malware? Porque si os acordáis de la noticia del otro día, ese era un punto de discusión, ya que técnicamente no es un malware, exponen algunas voces. En la misma línea anda Canonical. ¿Qué hubieran dicho si en lugar de un minero fuese una botnet (por ponerlo más idílico, una que se instala con la aplicación de turno y que solo atacase a sitios que se lo mereciesen)?

Puedo entender que quieran quitarle hierro al asunto, y hasta que salgan con lo imposible de revisar a conciencia cada aplicación que se sube, como pasa en las tiendas de apps para móviles. Por muy inverosímil que resulte comparar Google Play con Snapcraft. Pero que no llamen a las cosas por su nombre me supera. A diferencia de otros sitios que han analizado la noticia, menos mal, no se cobijan bajo el aislamiento de procesos de Snap, una capa de protección rotunda frente al malware.

Sin embargo, no todos los snaps hacen uso de esta característica y la muestra más conocida es Skype, lo cual nos lleva al consejo o moraleja con la que Canonical pretende finiquitar su exposición: confía en el autor, no en la aplicación. Es decir, antes de instalar una aplicación, fíjate en quién la ha subido. El problema de este consejo es que es un lío importante. Hay una gran cantidad de snaps que están hechos por empleados de Canonical, que figuran con el apelativo de Snapcrafters; hay otras tantas aplicaciones que han subidas diferentes usuarios; y otras tantas más que supuestamente firman sus respectivas desarrolladoras, es el caso de la mencionada Skype o Firefox. Pero no hay forma de comprobarlo.

De ahí se deriva una de las mejoras que Canonical implementará en Snap: verificación de cuentas, con alguna alerta visual al estilo de Twitter para que el usuario sepa que, al menos, el autor de una aplicación es quien dice ser. Lo que me escama un poco es lo de “confía en el autor, no en la aplicación”, como quitándose ellos de en medio. Entonces, ¿no confío en el intermediario, el distribuidor que incrusta la fuente en mi sistema?

Concluyendo, no me ha gustado mucho la respuesta de Canonical. En términos generales la entiendo, pero pasar de puntillas por lo que ha hecho Nicolas Tomb… como que no. O la información que tienen ellos es más acertada que la que ha trasncendido. No se sabe, porque tampoco han dicho más.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.