especialista em Linux Matthew Garrett: novo formato de pressão Ubuntu 16.04 de um risco de segurança

Matthew Garrett: “Enquanto Ubuntu Desktop ainda usa X11, o formato de pressão fornece muito pouca segurança significativo.”

Nuvem; Cloud computing cresce, uma API de cada vez; desenvolvedor; Google compra Apigee por US $ 625 milhões; Hardware; Raspberry Pi atinge dez milhões de vendas, comemora com o pacote ‘premium’; Segurança; Adobe reanima NPAPI Flash para Linux, depois de 4 anos estase

O novo formato do pacote app Snap é uma característica manchete do novo Ubuntu 16.04, apontado pela Canonical como uma forma segura de desenvolvimento de software que torna impossível para um aplicativo para roubar seus dados.

“Os mecanismos de segurança em pacotes instantâneas permitem-nos a abrir a plataforma para a iteração muito mais rápido em todos os nossos sabores como aplicações instantâneas são isolados do resto do sistema”, Olli Ries, chefe de produtos da plataforma cliente do Ubuntu da Canonical e lançamentos escreveu no início deste mês.

“Os usuários podem instalar um Snap, sem ter que se preocupar se ele vai ter um impacto sobre os seus outros aplicativos ou seu sistema,” ele continuou.

Mas essa afirmação é apenas meia verdade, de acordo com Matthew Garrett, um desenvolvedor Linux desenvolvedor do kernel e segurança bem conhecido no CoreOS.

Ele afirma que o uso de pacotes de snap no Ubuntu móvel não oferece melhorias de segurança genuínas, mas no ambiente de trabalho que dizem é “horrivelmente, terrivelmente enganosa”.

“Qualquer pacote snap a instalação é completamente capaz de copiar todos os seus dados privados para onde quer que ele quer com muito pouca dificuldade”, escreveu Garrett.

Para provar seu ponto, ele construiu um pacote de ataque de prova-de-conceito em Snap, que pela primeira vez mostra um urso de pelúcia “adorável” e, em seguida, registra as teclas digitadas a partir do Firefox e poderia ser usado para roubar as chaves SSH privadas. O PoC realmente injeta um comando inofensiva, mas pode ser ajustado para incluir uma sessão cURL para roubar as chaves SSH.

Garrett diz que a principal razão de pressão oferece pouca segurança no ambiente de trabalho Ubuntu é que ele usa o sistema de janelas X11.

“X não tem conceito real de diferentes níveis de confiança da aplicação. Qualquer aplicação pode se cadastrar para receber as teclas digitadas a partir de qualquer outra aplicação. Qualquer aplicação pode injetar os principais eventos falsos no fluxo de entrada. Um aplicativo que é de outra forma confinada por políticas de segurança fortes pode simplesmente digitar em outra janela “, escreveu ele.

Um aplicativo que não tem acesso a qualquer um dos seus dados privados podem esperar até que a sessão está ocioso, abra um terminal não confinado e então usar cURL para enviar seus dados para um local remoto.

Enquanto Ubuntu Desktop ainda usa X11, o formato de pressão fornece muito pouca segurança significativo.

Cloud computing cresce, uma API de cada vez

Google compra Apigee para $ 625.000.000

Raspberry Pi atinge dez milhões de vendas, comemora com o pacote ‘premium’

Adobe reanima NPAPI Flash para Linux depois da imobilização de 4 anos