Is Snap Packaging van Ubuntu echt veilig?

De recente release van Ubuntu 16.04 LTS heeft een aantal nieuwe functies met zich meegebracht, een daarvan was de opname van ZFS. Een ander kenmerk waarover veel mensen hebben gesproken, is het Snap-pakketindeling. Maar volgens een van de ontwikkelaars van CoreOS zijn de Snap-pakketten niet zo veilig als de claim.

Wat zijn snap-pakketten?

Snap-pakketten zijn geïnspireerd op containers. Met dit nieuwe pakketformaat kunnen ontwikkelaars updates publiceren voor toepassingen die worden uitgevoerd op Ubuntu Long-Term-Support (LTS) -releases. Dit geeft gebruikers de mogelijkheid om een ​​stabiel besturingssysteem uit te voeren, maar hun applicaties up-to-date te houden. Dit wordt bereikt door alle afhankelijkheden van de toepassing in hetzelfde pakket op te nemen. Dit voorkomt dat het programma breekt wanneer een afhankelijkheid wordt bijgewerkt.

Een ander voordeel van Snap-pakketten is dat de applicaties geïsoleerd zijn van de rest van het systeem. Dit betekent dat als u iets wijzigt met een Snap-pakket, dit geen invloed heeft op de rest van het systeem. Het voorkomt ook dat andere applicaties toegang krijgen tot uw persoonlijke gegevens, wat het voor hackers moeilijker maakt om uw gegevens te krijgen.

Maar wacht…

Volgens Matthew Garrett kan Snap de laatste belofte niet helemaal waarmaken. Garret werkt als een Linux-kernelontwikkelaar en beveiligingsontwikkelaar bij CoreOS, dus hij moet weten waar hij het over heeft.

Volgens Garret is "Any Snap-pakket dat u installeert volledig in staat om al uw persoonlijke gegevens te kopiëren naar elke gewenste locatie met zeer weinig problemen."

ZDnet gemeld:

"Om zijn punt te bewijzen, bouwde hij een proof-of-concept-aanvalspakket in Snap, dat eerst een" schattige "teddybeer toont en daarna de toetsaanslagen van Firefox registreert en kan worden gebruikt om privé-SSH-sleutels te stelen. De PoC injecteert eigenlijk een onschadelijk commando, maar kan worden aangepast om een ​​cURL-sessie op te nemen om SSH-sleutels te stelen. "

Maar wacht een beetje meer ...

Is het echt dat Snap beveiligingsfouten heeft? Blijkbaar niet zo.

Garret zelf zei dat dit probleem werd veroorzaakt door het X11-raamsysteem en had geen invloed op mobiele apparaten die Mir gebruiken. Het is dus de fout in X11 die het doet. Het is geen Snap zelf.

hoe X11 applicaties vertrouwt, is een bekend beveiligingsrisico. Snap verandert niets aan het X11-vertrouwensmodel, dus het feit dat applicaties kunnen zien wat andere applicaties doen, is geen zwakte in het nieuwe pakketformaat, maar eerder in X11's.

Garrett probeert juist aan te tonen dat wanneer Canonical alle lof voor Snap en zijn veiligheid is; Snap-applicaties zijn niet volledig sandboxed. Ze zijn net zo riskant als andere binaire bestanden.

Houd er rekening mee dat Ubuntu 16.04 nog altijd X11-weergave gebruikt, en niet Mir, en dat het downloaden en installeren van Snap-pakketten van onbekende bronnen schadelijk kan zijn. Maar dat is het geval met elke andere verpakking, is het niet?

In gerelateerde artikelen moet u controleren hoe u Snap-pakketten gebruikt in Ubuntu 16.04. En laat ons uw mening over Snap en de beveiliging ervan weten.

Aanbevolen

Dingen om te doen na het installeren van Fedora 24
2019
Speel Multiplayer Tron Arcade Game In Linux Terminal
2019
Snel kijken naar de op Arch Based Indie Linux-distributie: MagpieOS
2019