Il packaging Snap di Ubuntu è davvero sicuro?

La recente versione di Ubuntu 16.04 LTS ha portato una serie di nuove funzionalità, una delle quali è stata l'inclusione di ZFS. Un'altra caratteristica di cui molte persone hanno parlato è il formato del pacchetto Snap. Ma secondo uno degli sviluppatori di CoreOS, i pacchetti Snap non sono sicuri quanto il reclamo.

Cosa sono i pacchetti Snap?

I pacchetti Snap sono ispirati ai contenitori. Questo nuovo formato di pacchetto consente agli sviluppatori di rilasciare aggiornamenti per le applicazioni in esecuzione su versioni di LTS (Ubuntu Long-Term-Support). Ciò offre agli utenti la possibilità di eseguire un sistema operativo stabile, ma di mantenere aggiornate le loro applicazioni. Ciò si ottiene includendo tutte le dipendenze dell'applicazione nello stesso pacchetto. Ciò impedisce al programma di interrompersi quando si aggiorna una dipendenza.

Un altro vantaggio dei pacchetti Snap è che le applicazioni sono isolate dal resto del sistema. Ciò significa che se si modifica qualcosa con un pacchetto Snap, ciò non influirà sul resto del sistema. Inoltre impedisce ad altre applicazioni di accedere alle tue informazioni private, il che rende più difficile per gli hacker ottenere i tuoi dati.

Ma aspetta…

Secondo Matthew Garrett, Snap non riesce a mantenere l'ultima promessa. Garret lavora come sviluppatore di kernel Linux e sviluppatore di sicurezza presso CoreOS, quindi dovrebbe sapere di cosa sta parlando.

Secondo Garret, "il pacchetto Any Snap che installate è completamente in grado di copiare tutti i vostri dati privati ​​in qualsiasi posto che voglia con pochissime difficoltà."

ZDnet ha riportato:

"Per dimostrare il suo punto, ha creato un pacchetto di attacco proof-of-concept in Snap, che mostra per prima cosa un orsacchiotto" adorabile "e registra i tasti da Firefox e potrebbe essere usato per rubare chiavi SSH private. Il PoC in realtà inietta un comando innocuo, ma potrebbe essere ottimizzato per includere una sessione cURL per rubare le chiavi SSH. "

Ma aspetta un altro po '...

È davvero che Snap ha difetti di sicurezza? Apparentemente non è così.

Lo stesso Garret ha detto che questo problema è stato causato dal sistema X11 e non ha influenzato i dispositivi mobili che utilizzano Mir. Quindi, è il difetto di X11 che lo fa. Non è Snap stesso.

il modo in cui X11 si fida delle applicazioni è un noto rischio per la sicurezza. Snap non cambia il modello di fiducia di X11, quindi il fatto che le applicazioni possano vedere ciò che fanno le altre applicazioni non è un punto debole nel nuovo formato di pacchetto, ma piuttosto in X11.

Garrett sta solo cercando di dimostrare che quando Canonical è lode per Snap e per la sua sicurezza; Le applicazioni Snap non sono completamente in sandbox. Sono rischiosi come qualsiasi altro binario.

Tenendo presente il fatto che Ubuntu 16.04 utilizza ancora il display X11 e non Mir, il download e l'installazione di pacchetti Snap da fonti sconosciute potrebbe essere dannoso. Ma questo è il caso con qualsiasi altro imballaggio, non è vero?

Negli articoli correlati, dovresti controllare come usare i pacchetti Snap in Ubuntu 16.04. E facci sapere delle tue opinioni su Snap e della sua sicurezza.

Raccomandato

Le 20 principali estensioni GNOME che dovresti usare in questo momento
2019
Ecco $ 5 di Linux Mini PC per Internet of Things
2019
La guida completa per l'utilizzo di ffmpeg in Linux
2019