Linux Preview

Hace 3 años

Nuevo formato de Ubuntu 16.04 Snap es un riesgo de seguridad

matthew garrett


El formato de paquete de la aplicación supuestamente segura snap de Ubuntu no hace mucho para mejorar la seguridad en el escritorio, de acuerdo con un conocido desarrollador del kernel de Linux.

El nuevo formato de paquete de la aplicación Snap es una característica título del nuevo Ubuntu 16.04, promocionado por Canonical como una forma segura de desarrollar un software que hace que sea imposible que una aplicación robe sus datos.

“Los mecanismos de seguridad en los paquetes Snap nos permiten abrir hasta la plataforma para la iteración mucho más rápido a través de todos nuestros sabores como aplicaciones Snap están aislados del resto del sistema,” Olli Ries, jefe de productos de plataforma de cliente de Ubuntu de Canonical en un comunicado que escribió a principios de este mes.

“Los usuarios pueden instalar un complemento sin tener que preocuparse si va a tener un impacto en sus otras aplicaciones o su sistema”, continuó.

Pero esa afirmación es una verdad a medias, según Matthew Garrett, un conocido desarrollador del kernel Linux y la seguridad en CoreOS.

Afirma que el uso de paquetes Snap en Ubuntu móvil no ofrecen mejoras de seguridad genuinos, pero en el escritorio dicen que es “terriblemente, terriblemente engañosa.

“Cualquier paquete Snap a instalar es completamente capaz de copiar todos sus datos privados a donde quiera con muy poca dificultad”, escribió Garrett.

Para probar su punto, se construyó un paquete de ataque de prueba de concepto en Snap, que primero muestra un “adorable” osito de peluche y luego registra las pulsaciones de teclado de Firefox y podría ser utilizado para robar claves SSH privadas. El PoC en realidad inyecta un comando inofensivo, pero podría ser ajustado para incluir una sesión cURL para robar claves SSH.
Garrett dice que la razón fundamental de que Snap ofrece poca seguridad en el escritorio de Ubuntu es que utiliza el sistema de ventanas X11.

“X no tiene un concepto real de diferentes niveles de confianza de la aplicación. Cualquier aplicación puede registrarse para recibir las pulsaciones de teclado desde cualquier otra aplicación. Cualquier aplicación puede inyectar eventos clave falsos en la corriente de entrada. Una aplicación que se limita de otra manera por las políticas de seguridad fuertes puede simplemente escribir en otra ventana “, escribió.
Más información en: zdnet.com





Comentar con Facebook