`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Snap несёт угрозу безопасности Ubuntu

25 апреля 2016 г., 11:25
+11
голос
Snap несёт угрозу безопасности Ubuntu

Новый формат упаковки приложений, Snap, стал визитной карточкой очередного этапного апгрейда Ubuntu — 16.04. Он подаётся фирмой Canonical как безопасный способ разработки ПО, делающий невозможной для приложения кражу пользовательской информации.

«Защитный механизм пакетов Snap позволяет нам открыть платформу для значительно более частых модификаций всех её возможностей, так как приложения Snap изолированы от остальной системы», — так написал в этом месяце Олли Райс (Olli Ries), отвечающий в Ubuntu за клиентские платформенные продукты.

Но, эта заявка справедлива лишь отчасти, считает Мэттью Гарретт (Matthew Garrett), известный разработчик ядра Linux и технологий защиты CoreOS. Он согласен, что использование пакетов Snap кардинально улучшает безопасность мобильной платформы Ubuntu, но в отношении десктопов считает подобные утверждения «чудовищным заблуждением».

«Любой пакет Snap, устанавливаемый вами, способен без проблем копировать все ваши приватные данные куда угодно», — пишет Гарретт.

В подтверждение своих слов он создал в Snap концептуальный «атакующий» пакет, который сначала показывает плюшевого мишку, а затем записывает нажатия клавиш из Firefox и может использоваться для похищения частных ключей SSH.

Главная причина проблем с безопасностью в настольной Ubuntu, как утверждает Гарретт, заключается в использовании ею оконной системы X11. «В X не имеется реальной концепции различных уровней доверия к приложению. Любая программа может зарегистрироваться на получение нажатий клавиш из любой другой. Каждое приложение может внедрять в поток ввода ложные нажатия на кнопки. Во всех остальных отношениях приложения связаны строгими политиками безопасности, но могут просто печатать в другом окне», — пишет он.

Если программа не имеет доступа к каким-то приватным данным, она может дождаться, когда сессия перейдёт в неактивный (idle) режим, открыть привилегированный (unconfined) терминал и, используя cURL, послать нужные данные на удалённый сайт.

«До тех пор пока настольная Ubuntu использует X11, от формата Snap будет мало толку в смысле безопасности», — заявил Гарретт.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+11
голос

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT