Segundo desenvolvedor, Snappy não é seguro no Ubuntu com o X11


Entre os novos recursos disponíveis no Ubuntu 16.04 LTS (Xenial Xerus), está o suporte de instalação para snap, o formato de pacote inovador que a Canonical tem usado até agora apenas em seu sistema operacional Snappy Ubuntu Core, desenvolvido especialmente para dispositivos da Internet das Coisas (IoT).

O novo formato foi criado a partir do zero para trabalhar com o servidor de exibição de próxima geração da Canonical, o Mir, que é usado por padrão no sistema operacional móvel Ubuntu Touch em dispositivos Ubuntu Phone, bem como no novo Ubuntu Tablet, o BQ Aquaris M10 Ubuntu Edition, proporcionando aos usuários uma segurança de alto nível.

No entanto, de acordo com Matthew Garrett, um renomado desenvolvedor de segurança do CoreOS e contribuinte do Linux Kernel, ao adicionar suporte para a instalação de pacotes snap no Ubuntu para servidor e desktop, a Canonical pode ter comprometido a integridade dos usuários, isso porque o novo formato não é seguro em tudo quando está sendo usado sob o X.Org Server (X Window System) que, por enquanto, ainda é o servidor de exibição padrão no Ubuntu 16.04 LTS (Xenial Xerus).

O problema é que o design antigo do X11 é bem conhecido por não ser seguro. Matthew Garrett, por sua vez, resolveu tomar um pouco de seu tempo para demonstrar isso escrevendo um pacote snap simples que pode roubar dados de qualquer outro software X11, neste caso, qualquer coisa que você digitar no navegador Mozilla Firefox.

"Eu criei uma prova rápida para conceito deste. Grab XEvilTeddy do git, instale Snapcraft (está no 16.04), snapcraft snap, sudo snap install xevilteddy*.snap, /snap/bin/xevilteddy.xteddy . Um urso de peluche adorável! Que fofo. Agora abra o Firefox e comesse a digitar, em seguida, confira a sua janela de terminal. Ah não! Todos os meus segredos. Abra outra janela de terminal e dê uma olhada. Ah não! Um comando injetado que poderia, em vez disso, ter sido uma sessão curl para fazer upload de suas chaves SSH privadas para algum lugar que não vai respeitar a sua privacidade", explica Matthew Garrett.

Por enquanto, o snap não é popular entre os fãs do Ubuntu, especialmente porque há muitos poucos softwares disponíveis no formato para serem instalados no Ubuntu 16.04 LTS (Xenial Xerus). Mas, isso vai mudar em breve, à medida em que mais desenvolvedores irão fornecer snap para seus aplicativos. Com isso, a Canonical precisa fazer algo sobre a segurança do snap no Ubuntu ao usar o X11.

Segundo o site Softpedia, que seguiu as instruções de Matthew Garrett, a aplicação xevilteddy (criada pelo desenvolvedor para realizar o teste) realmente pode roubar tudo o que você digita em um outro software X11 e, possivelmente, usar o cURL para enviar as chaves SSH de um usuário para um local remoto. Confira a imagem abaixo:


Vale ressaltar que na edição Ubuntu Server, felizmente, a segurança dos pacotes snap permanece inalterada, pois o sistema operacional normalmente é usado sem um servidor de exibição. Para mais detalhes, recomendamos que você confira o post oficial de Matthew Garrett, que pode ser encontrado clicando aqui.


FONTE: Softpedia | PhoronixMatthew Garrett

COMENTÁRIOS