Canonical когда начала мобильную ветку Убунту, взяв ту же кодовую базу и инструменты, решила создать из них нечто другое. Например, отделила систему от прикладного софта и получили продукт - Snappy. Взяла AppArmor и его строгие профиля и получили возможность автоматического одобрения софта в репозитория, что снижает резко нагрузку на ручной просмотр софта специалистами и ускоряет появление нового софта для пользователей. Но всё это было красиво, похоже, только в теории.
Привыкаешь к тому, что Ubuntu, как Linux система, основана на крепких как скала технологиях: права доступа, профиля мандатного доступа типа AppArmor, фильтры безопасных вычислений seccomp и т.д. Привыкаешь и думаешь, что зловреды будут обходить тебя стороной только от слова линукс система, но это не так. Зловред - это программа, которая может и существует для любой операционной системы.
14 октября 2015 года в 22:50 некто загрузил приложение test.mmrow в Ubuntu Phone Software Store и проэкплуатировал неизвестную пока уязвимость в подсистеме установки приложений. В приложении есть только кнопка "Нажми меня" (Tap me), чьё нажатие приводило к модифицированию экрана загрузки и получению root прав!
Почти моментально сотрудники Canonical отреагировали и уже через пару часов (15 октября в 00:50) временно приостановили download и upload из Магазина приложений. Были просканированы все приложения для выявления возможности использования этой неизвестной дыры в безопасности и в 4:23 Магазин заработал как прежде.
Canonical не открывает пока в чём суть проблемы, но готовит обновление, закрывающее дыру. Так же говорится, что дыра специфична для Ubuntu Phone и не касается десктопа, серверов, облачных образов, snappy Ubuntu Core.
Назвать ли это счастьем, но пользователей Ubuntu Phone немного и скачали программу 15 человек. Это не опечатка! Canonical связалась с каждым индивидуально и помогла удалить данную программу с телефона.
Главное здесь факт, что система безопасности, основанная на профилях AppArmor, где-то дала сбой или была неверно сконфигурирована. Люди должны быть уверены в софте из Ubuntu App Store и такого инцидента не должно больше быть как класс. А сейчас нужно с мужеством принять эту горькую пилюлю и сделать выводы - ведь что не убивает нас, то делает нас сильнее.
Чтобы не заканчивать на грустной ноте, держите видео от разработчика софта с его Ubuntu Phone (Meizu MX4 Ubuntu Edition), внутри которой сейчас Ubuntu 15.04 + Unity 8 + Mir.
Астрологи объявили неделю октября неделей багов. Баги удваиваются!
Баги с Корзиной в десктопной Убунту.
Разработчики Ubuntu думают о будущем Firefox, как дефолтный браузер.
JAyatana отключена. Поспешишь, людей насмешишь.
Не наша дыра, уф. Дыра в головах админов.
Чистим пёрышки к выходу Ubuntu 16.04 LTS. Глобальный поиск багов.
Ubuntu получает исправления в ядре linux.