Ubuntu 16.04 fue lanzado ayer con una buena colección de novedades, entre las que las más destacada es el nuevo sistema de paquetería Snap, al que ya se han subido aplicaciones como Firefox. Como ya os hemos comentado Canonical promete que las aplicaciones que lo utilizan son más seguras, pero ya han aparecido las primeras voces que les llevan la contraria.
Y son voces cualificadas como la de Matthew Garrett, desarrollador de seguridad en CoreOS y contribuidor en el Kernel Linux. Según ha escrito en su blog el sistema de ventanas X.ORG Server, que sigue siendo el sistema que utiliza Ubuntu por defecto en su nueva versión, hace que los los Snaps puedan robar fácilmente los datos de otras aplicaciones.
¿Dónde está el problema?
Tal y como ha apuntado el propio Garrett, el problema está en la anticuada infraestructura de X11, que no es precisamente famosa por su seguridad y donde cualquier aplicación puede programarse para registrar las pulsaciones de teclado de otra, o incluso inyectar eventos clave falsos en la corriente de entrada.
Para demostrarlo ha cogido el proyecto malicioso XEvilTeddy de GitHub y ha creado con la herramienta Snapcraft de Canonical una aplicación con la que registrar todo lo que se escribe en el navegador Firefox. Con ella no sólo ha podido obtener todo lo escrito en el navegador, sino también inyectar un comando para subir las claves privadas SSH a un servidor propio.
Matthew Garrett concluye que Snap es un importante paso adelante en seguridad, pero que hasta Ubuntu no migre definitivamente a Mir por defecto las protecciones que ofrece el sistema han demostrado ser fácilmente evitables. Es evidente que a Canonical aun le queda un largo camino con sus Snaps, pero un paso en falso ahora puede ser fatal para la implantación de su nueva propuesta.
Vía | Matthew Garrett
En Genbeta | Ubuntu 16.04 LTS ya está entre nosotros, y esto es todo lo que tienes que saber
Ver 33 comentarios
33 comentarios
dggonzalez1971
A ver, el problema no es snap, si instalas un programa cuya función es espiar aprovechando una vulnerabilidad de X11 va a producir el mismo resultado instalándolo como paquete deb en Ubuntu o Debian o como rpm en cualquier otra distro que siga usando X11.
Garrett es un troll, me van a decir que en serio encontró esta vulnerabilidad justo el día que salió Ubuntu.
atoi
Eso ya se sabía. Ningún tipo de isolation es completo si funciona sobre X11, a menos que use su propio server como ser con Xephyr. De todas maneras una aplicación snap es más segura que una convencional.
Por otro lado, utilizar aplicaciones sandboxes es algo que se puede hacer desde hace más de una década en Linux, snap simplemente lo hace más fácil para el usuario.
ottoswanstaiger
Hay un circulo del infierno especialmente destinado para los trolls como Garrett.
Usuario desactivado
Afortunadamente Wayland y Mir están cerca. Pero en mientras... =S
jairoav251
Vaya, y si la info ya se publicó lo mejor será prescindir de Snap...Aunque en el Mundo Linux las cosas suelen parcharse rápidamente, pero creería que esto acelerá el proyecto Mir o Wayland en su defecto...
kj_
¿Solo eso le han encontrado de malo a los paquetes snap?
Pero es que tienen varias desventajas a costa de ganar la ventaja de ponérsela fácil a los desarrolladores y hacer sandbox (que mal no está, pero...).
juliosauza
Parece que están hablando de Mr. Windiws y no de Linux... Para mi Ubuntu ya no es un buen SO desde hace tiempo. Práctico tal vez... Pero eso se le dice al producto más conocido de Microsoft no a una distro de Linux y mucho menos a una basada en el papá y mamá de todos Debían. sudo apt-get remove -- purge ubuntu-common del cerebro.
zimokapino
Pues empezamos bien... :-/