O pacote snap do Ubuntu é realmente seguro?

16 de dezembro de 2016

O lançamento recente do Ubuntu 16.04 LTS trouxe uma série de novos recursos, um dos quais abordamos foi a inclusão do ZFS. Outro recurso que muitas pessoas têm falado é o formato do pacote Snap. Mas de acordo com um dos desenvolvedores do CoreOS, os pacotes Snap não são tão seguros quanto afirmam.

O que são pacotes instantâneos?

As embalagens instantâneas são inspiradas em contêineres. Este novo formato de pacote permite que os desenvolvedores emitam atualizações para aplicativos executados nas versões do Ubuntu Long-Term-Support (LTS). Isso dá aos usuários a opção de executar um sistema operacional estável, mas manter seus aplicativos atualizados. Isso é feito incluindo todas as dependências do aplicativo no mesmo pacote. Isso evita que o programa seja interrompido quando uma dependência for atualizada.

Outra vantagem dos pacotes Snap é que os aplicativos são isolados do resto do sistema. Isso significa que se você alterar algo com um pacote Snap, isso não afetará o resto do sistema. Também evita que outros aplicativos acessem suas informações privadas, o que torna mais difícil para os hackers obterem seus dados.

Mas espere…

De acordo com Matthew Garrett, o Snap não consegue cumprir a última promessa. Garret trabalha como desenvolvedor de kernel Linux e desenvolvedor de segurança na CoreOS, então ele deve saber do que está falando.

De acordo com Garret, qualquer pacote Snap que você instalar é completamente capaz de copiar todos os seus dados privados para onde quiser com muito pouca dificuldade.

ZDnet relatou:

Para provar seu ponto de vista, ele construiu um pacote de ataque à prova de conceito no Snap, que primeiro mostra um adorável ursinho de pelúcia e depois registra as teclas digitadas no Firefox e pode ser usado para roubar chaves SSH privadas. O PoC realmente injeta um comando inofensivo, mas pode ser ajustado para incluir uma sessão cURL para roubar chaves SSH.

> Mas espere um pouco mais ...

É realmente que o Snap tem falhas de segurança? Aparentemente, não.

O próprio Garret disse que esse problema foi causado pelo sistema de janelas X11 e não afetou os dispositivos móveis que usam Mir. Então, é a falha do X11 que faz isso. Não é o Snap em si.

como o X11 confia nos aplicativos é um risco de segurança bem conhecido. O Snap não muda o modelo de confiança do X11, então o fato de que os aplicativos podem ver o que outros aplicativos estão fazendo não é uma fraqueza no novo formato de pacote, mas sim do X11. Garrett está apenas tentando mostrar isso quando a Canonical é só elogios ao Snap e sua segurança; Os aplicativos snap não são totalmente protegidos. Eles são tão arriscados quanto quaisquer outros binários.

Tendo em mente que o Ubuntu 16.04 ainda usa a exibição X11, e não o Mir, baixar e instalar pacotes Snap de fontes desconhecidas pode ser prejudicial. Mas é o que acontece com qualquer outra embalagem, não é?

Em artigos relacionados, você deve verificar como usar os pacotes Snap no Ubuntu 16.04. E diga-nos sua opinião sobre o Snap e sua segurança.

Confira também a versão original desse post em inglês
Esse post foi originalmente escrito por John Paul e publicado no site itsfoss.com. Tradução sujeita a revisão.

Is Ubuntu’s Snap Packaging Really Secure?

Propaganda
Propaganda