nedávné vydání Ubuntu 16.04 LTS přineslo řadu nových funkcí, z nichž jednou jsme se zabývali zahrnutím ZFS. Další funkcí, o které mnoho lidí hovořilo, je formát balíčku Snap. Ale podle jednoho z vývojářů CoreOS nejsou balíčky Snap tak bezpečné, jak se tvrdí.
Co jsou balíčky Snap?
Snap balíčky jsou inspirovány kontejnery. Tento nový formát balíčku umožňuje vývojářům vydávat aktualizace pro aplikace běžící na vydáních Ubuntu Long-Term-Support (LTS). To dává uživatelům možnost provozovat stabilní operační systém, ale udržovat své aplikace aktualizované. Toho je dosaženo zahrnutím všech závislostí aplikace do stejného balíčku. To zabrání přerušení programu při aktualizaci závislosti.
Další výhodou balíčků Snap je, že aplikace jsou izolované od zbytku systému. To znamená, že pokud něco změníte pomocí balíčku Snap, neovlivní to zbytek systému. Zabraňuje také dalším aplikacím v přístupu k vašim soukromým informacím, což ztěžuje hackerům získat vaše data.
Ale počkejte...
Podle Matthewa Garretta nemůže Snap zcela splnit poslední slib. Garret pracuje jako vývojář linuxového jádra a bezpečnostní vývojář v CoreOS, takže by měl vědět, o čem mluví.
Podle Garreta:„Jakýkoli balíček Snap, který nainstalujete, je zcela schopen zkopírovat všechna vaše soukromá data, kamkoli chce, s velmi malými obtížemi.“
ZDnet oznámil:
„Aby dokázal svůj názor, vytvořil ve Snapu útočný balíček proof-of-concept, který nejprve ukazuje „rozkošného“ medvídka a poté zaznamenává stisknuté klávesy z Firefoxu a lze jej použít ke krádeži soukromých klíčů SSH. PoC ve skutečnosti vkládá neškodný příkaz, ale mohl by být vylepšen tak, aby zahrnoval relaci cURL ke krádeži klíčů SSH.“
Ale ještě chvíli počkejte…
Opravdu má Snap bezpečnostní chyby? Zřejmě ne.
Garret sám řekl, že tento problém byl způsoben okenním systémem X11 a neovlivnil mobilní zařízení, která používají Mir. Takže je to chyba v X11, která to dělá. Není to samotný Snap.
jak X11 důvěřuje aplikacím, je dobře známé bezpečnostní riziko. Snap nemění důvěryhodný model X11, takže skutečnost, že aplikace vidí, co dělají ostatní aplikace, není slabinou nového formátu balíčků, ale spíše X11.
Garrett se ve skutečnosti jen snaží ukázat, že když Canonical chválí Snap a jeho zabezpečení; Aplikace Snap nejsou plně izolované. Jsou stejně riskantní jako všechny ostatní binární soubory.
S ohledem na skutečnost, že Ubuntu 16.04 stále používá displej X11 a nikoli Mir, stahování a instalace balíčků Snap z neznámých zdrojů může být škodlivé. Ale to je případ jakéhokoli jiného obalu, ne?
V souvisejících článcích byste se měli podívat na to, jak používat balíčky Snap v Ubuntu 16.04. A dejte nám vědět o svých názorech na Snap a jeho zabezpečení.