Ubuntu Touch: Potenziell gefährliche App im Ubuntu App Store
Im bisher als sicher geltenden Ubuntu App Store tauchte jetzt eine potenziell gefährliche App auf, die jedoch keinen Schaden anrichtete. Lediglich der Bootscreen wurde verändert, was aber aufgrund der nötigen Rootrechte bereits auf das Gefahrenpotenzial hinweist. Von dem Vorfall war lediglich Ubuntu Touch betroffen.
Ein Mitglied der Ubuntu App Developer Community berichtete auf Google+ kürzlich über eine App namens test.mmrow, die neu im Ubuntu Store war und ihm nicht geheuer vorkam. Nach Anklicken des einzigen Buttons mit der Aufschrift Tap me! führte das Meizu MX4 einen Neustart durch und zeigte danach einen veränderten Bootscreen.
Nach einer kurzen Analyse der App stellte Canonical-Entwickler Ollie Ries eine Taskforce zusammen, um die offensichtlich mit viel Schadpotenzial ausgestattete App aus dem App Store zu entfernen und die automatische Testmethodik für neue Apps anzupassen, um ähnliche Vorfälle in Zukunft zu verhindern. Die App war nicht dazu ausgelegt, Schaden anzurichten sondern wollte vermutlich auf ein Sicherheitsleck aufmerksam machen. Das bösartige Script sowie der veränderte Bootscreen zeigt den Namen Logan Lamb. Ob hier ein Zusammenhang mit dem gleichnamigen US-amerikanischen Sicherheitsforscher besteht ist unklar.
Die App wurde bereits wenige Stunden nach ihrem Auftauchen aus dem Store entfernt, sodass insgesamt nur 15 Downloads verzeichnet wurden, wovon zwei von Entwicklern zur Analyse der App stammten. Aber wie konnte eine App den entdeckten Schadcode durch die Kontrolle bringen? Click-Apps für Ubuntu Touch sind simpel aufgebaut, was einer ihrer Vorteile ist: die Überprüfung neu eingereichter Apps kann automatisch erfolgen. Tauchen dabei Ungereimtheiten auf, findet eine manuelle Überprüfung statt.
Die jetzt entfernte App schaffte es trotzt Schadcode durch die automatische Kontrolle. Hier galt es zu identifizieren, welche Lücke das Schadscript nutzt. Eigentlich hätte es an gleich zwei Stellen Alarm auslösen müssen. Das Sicherheitsmodul AppArmor prüft die von der App mitgebrachte Vorlage, welche die Rechte definiert, die die App anfordert. Hierfür gibt es Standard-Vorlagen. Der nun entfernten App gelang es durch eine Lücke in der Click-Installation, eine Vorlage zu nutzen, die ihr uneingeschränkte Rechte einräumte. Dabei legte die App eine Vorlage (confined tempate) vor, die nur wenige Rechte einräumt, führte aber in einem versteckten Verzeichnis eine Vorlage mit (unconfined template), die alle Rechte inklusive Rootzugang enthält.
Die versteckte Vorlage hätte bereits bei der Überprüfung Alarm auslösen müssen. Es hätte auffallen müssen, dass dort eine Freigabe liegt, die eigentlich erst während der Installation erstellt wird. Zudem hätte diese während der Installation ignoriert werden müssen. Die entsprechende Lücke wurde bereits geschlossen, Endgeräte erhalten in Kürze eine Aktualisierung. Zudem wurden alle Apps im Store auf ähnliche Scripte überprüft.
Von der Lücke war lediglich Ubuntu Touch betroffen, für Anwender von Desktop-, Server-, CLoud-Editionen sowie Ubuntu Snappy bestand keine Gefahr.