Авторские статьи об OpenSource

Первый фейл Ubuntu Phone.


Canonical когда начала мобильную ветку Убунту, взяв ту же кодовую базу и инструменты, решила создать из них нечто другое. Например, отделила систему от прикладного софта и получили продукт - Snappy. Взяла AppArmor и его строгие профиля и получили возможность автоматического одобрения софта в репозитория, что снижает резко нагрузку на ручной просмотр софта специалистами и ускоряет появление нового софта для пользователей. Но всё это было красиво, похоже, только в теории.

Привыкаешь к тому, что Ubuntu, как Linux система, основана на крепких как скала технологиях: права доступа, профиля мандатного доступа типа AppArmor, фильтры безопасных вычислений seccomp и т.д. Привыкаешь и думаешь, что зловреды будут обходить тебя стороной только от слова линукс система, но это не так. Зловред - это программа, которая может и существует для любой операционной системы.

14 октября 2015 года в 22:50 некто загрузил приложение test.mmrow в Ubuntu Phone Software Store и проэкплуатировал неизвестную пока уязвимость в подсистеме установки приложений. В приложении есть только кнопка "Нажми меня" (Tap me), чьё нажатие приводило к модифицированию экрана загрузки и получению root прав!

Почти моментально сотрудники Canonical отреагировали и уже через пару часов (15 октября в 00:50) временно приостановили download и upload из Магазина приложений. Были просканированы все приложения для выявления возможности использования этой неизвестной дыры в безопасности и в 4:23 Магазин заработал как прежде.

Canonical не открывает пока в чём суть проблемы, но готовит обновление, закрывающее дыру. Так же говорится, что дыра специфична для Ubuntu Phone и не касается десктопа, серверов, облачных образов, snappy Ubuntu Core.

Назвать ли это счастьем, но пользователей Ubuntu Phone немного и скачали программу 15 человек. Это не опечатка! Canonical связалась с каждым индивидуально и помогла удалить данную программу с телефона.

Главное здесь факт, что система безопасности, основанная на профилях AppArmor, где-то дала сбой или была неверно сконфигурирована. Люди должны быть уверены в софте из Ubuntu App Store и такого инцидента не должно больше быть как класс. А сейчас нужно с мужеством принять эту горькую пилюлю и сделать выводы - ведь что не убивает нас, то делает нас сильнее.

Чтобы не заканчивать на грустной ноте, держите видео от разработчика софта с его Ubuntu Phone (Meizu MX4 Ubuntu Edition), внутри которой сейчас Ubuntu 15.04 + Unity 8 + Mir.



Астрологи объявили неделю октября неделей багов. Баги удваиваются!
Баги с Корзиной в десктопной Убунту.
Разработчики Ubuntu думают о будущем Firefox, как дефолтный браузер.
JAyatana отключена. Поспешишь, людей насмешишь.
Не наша дыра, уф. Дыра в головах админов.
Чистим пёрышки к выходу Ubuntu 16.04 LTS. Глобальный поиск багов.
Ubuntu получает исправления в ядре linux.

    Twitter   


Разделы

Главная
Новости
Ворох бумаг
Видео Linux
Игры в Linux
Безопасность
Статьи о FreeBSD
Статьи об Ubuntu
Статьи о Snappy
Статьи об Ubuntu Phone
Статьи о Kubuntu
Статьи о Xubuntu
Статьи о Lubuntu
Статьи об Open Source
Карта сайта

Лучшее на сайте:

1С под Linux.   Ускорение Ubuntu.   21 пример iptables.   Цикл статей о Ceph.   Убунту в дикой среде.   Ubuntu Linux на SSD.   Ubuntu для блондинок.   Поддержка железа в Linux.   BTSync на службе у админа.   Андроид программы в Ubuntu.   Прокидывание портов для p2p.   Анти СПАМ в Postfix.  



Круги Гугл Ада.


Группа поддержки