Il recente rilascio di Ubuntu 16.04 LTS ha portato una serie di nuove funzionalità, una delle quali è stata l'inclusione di ZFS. Un'altra caratteristica di cui molte persone hanno parlato è il formato del pacchetto Snap. Ma secondo uno degli sviluppatori di CoreOS, i pacchetti Snap non sono sicuri come si dice.
Cosa sono gli Snap Package?
I pacchetti Snap sono ispirati ai contenitori. Questo nuovo formato di pacchetto consente agli sviluppatori di rilasciare aggiornamenti per le applicazioni in esecuzione su versioni di supporto a lungo termine (LTS) di Ubuntu. Ciò offre agli utenti la possibilità di eseguire un sistema operativo stabile, ma di mantenere aggiornate le proprie applicazioni. Ciò si ottiene includendo tutte le dipendenze dell'applicazione nello stesso pacchetto. Ciò impedisce al programma di interrompersi quando viene aggiornata una dipendenza.
Un altro vantaggio dei pacchetti Snap è che le applicazioni sono isolate dal resto del sistema. Ciò significa che se modifichi qualcosa con un pacchetto Snap, ciò non influirà sul resto del sistema. Impedisce inoltre ad altre applicazioni di accedere alle tue informazioni private, il che rende più difficile per gli hacker ottenere i tuoi dati.
Ma aspetta...
Secondo Matthew Garrett, Snap non riesce a mantenere l'ultima promessa. Garret lavora come sviluppatore di kernel Linux e sviluppatore di sicurezza presso CoreOS, quindi dovrebbe sapere di cosa sta parlando.
Secondo Garret, "Qualsiasi pacchetto Snap che installi è completamente in grado di copiare tutti i tuoi dati privati dove vuole con pochissime difficoltà."
ZDnet segnalato:
"Per dimostrare il suo punto, ha creato un pacchetto di attacco proof-of-concept in Snap, che prima mostra un "adorabile" orsacchiotto, quindi registra le sequenze di tasti da Firefox e potrebbe essere utilizzato per rubare chiavi SSH private. Il PoC in realtà inietta un comando innocuo, ma potrebbe essere modificato per includere una sessione cURL per rubare le chiavi SSH."
Ma aspetta ancora un po'...
È davvero che Snap ha dei difetti di sicurezza? A quanto pare non è così.
Garret stesso ha affermato che questo problema è stato causato dal sistema di finestre X11 e non ha interessato i dispositivi mobili che utilizzano Mir. Quindi, è il difetto in X11 che lo fa. Non è Snap stesso.
il modo in cui X11 si fida delle applicazioni è un noto rischio per la sicurezza. Snap non cambia il modello di fiducia di X11, quindi il fatto che le applicazioni possano vedere cosa stanno facendo le altre applicazioni non è un punto debole nel nuovo formato del pacchetto, ma piuttosto in quello di X11.
Garrett sta solo cercando di dimostrare che quando Canonical è tutto elogiato per Snap e la sua sicurezza; Le applicazioni Snap non sono completamente sandbox. Sono rischiosi come qualsiasi altro binario.
Tenendo presente il fatto che Ubuntu 16.04 utilizza ancora il display X11 e non Mir, scaricare e installare pacchetti Snap da fonti sconosciute potrebbe essere dannoso. Ma questo è il caso di qualsiasi altra confezione, vero?
Negli articoli correlati, dovresti controllare come usare i pacchetti Snap in Ubuntu 16.04. E facci sapere le tue opinioni su Snap e la sua sicurezza.