Die jüngste Veröffentlichung von Ubuntu 16.04 LTS hat eine Reihe neuer Funktionen mit sich gebracht, von denen wir unter anderem die Aufnahme von ZFS behandelt haben. Ein weiteres Feature, über das viele Leute gesprochen haben, ist das Snap-Paketformat. Aber laut einem der Entwickler von CoreOS sind die Snap-Pakete nicht so sicher wie behauptet wird.
Was sind Snap-Pakete?
Snap-Pakete sind von Containern inspiriert. Dieses neue Paketformat ermöglicht es Entwicklern, Updates für Anwendungen herauszugeben, die auf Ubuntu Long-Term-Support (LTS)-Releases laufen. Dies gibt Benutzern die Möglichkeit, ein stabiles Betriebssystem auszuführen, aber ihre Anwendungen auf dem neuesten Stand zu halten. Dies wird erreicht, indem alle Abhängigkeiten der Anwendung in dasselbe Paket aufgenommen werden. Dies verhindert, dass das Programm abbricht, wenn eine Abhängigkeit aktualisiert wird.
Ein weiterer Vorteil von Snap-Paketen ist, dass die Anwendungen vom Rest des Systems isoliert sind. Das bedeutet, wenn Sie etwas mit einem Snap-Paket ändern, wirkt sich dies nicht auf den Rest des Systems aus. Es verhindert auch, dass andere Anwendungen auf Ihre privaten Informationen zugreifen, was es Hackern erschwert, an Ihre Daten zu gelangen.
Aber Moment…
Laut Matthew Garrett kann Snap das letzte Versprechen nicht ganz einlösen. Garret arbeitet als Linux-Kernel-Entwickler und Sicherheitsentwickler bei CoreOS, also sollte er wissen, wovon er spricht.
Garret zufolge ist „jedes Snap-Paket, das Sie installieren, in der Lage, alle Ihre privaten Daten mit sehr geringem Aufwand dorthin zu kopieren, wo es will.“
ZDnet berichtete:
„Um seinen Standpunkt zu beweisen, baute er in Snap ein Proof-of-Concept-Angriffspaket, das zuerst einen „entzückenden“ Teddybären zeigt und dann Tastenanschläge von Firefox protokolliert und zum Stehlen privater SSH-Schlüssel verwendet werden könnte. Der PoC fügt tatsächlich einen harmlosen Befehl ein, könnte aber so angepasst werden, dass er eine cURL-Sitzung enthält, um SSH-Schlüssel zu stehlen.“
Aber warte noch ein wenig…
Ist es wirklich so, dass Snap Sicherheitslücken hat? Anscheinend nicht so.
Garret selbst sagte, dass dieses Problem durch das X11-Fenstersystem verursacht wurde und keine mobilen Geräte betraf, die Mir verwenden. Es ist also der Fehler in X11, der das bewirkt. Es ist nicht Snap selbst.
Wie X11 Anwendungen vertraut, ist ein bekanntes Sicherheitsrisiko. Snap ändert das Vertrauensmodell von X11 nicht, daher ist die Tatsache, dass Anwendungen sehen können, was andere Anwendungen tun, keine Schwäche des neuen Paketformats, sondern eher die von X11.
Garrett versucht eigentlich nur zu zeigen, dass Snap und seine Sicherheit von Canonical gelobt werden; Snap-Anwendungen sind nicht vollständig in einer Sandbox ausgeführt. Sie sind genauso riskant wie alle anderen Binärdateien.
In Anbetracht der Tatsache, dass Ubuntu 16.04 immer noch die X11-Anzeige und nicht Mir verwendet, kann das Herunterladen und Installieren von Snap-Paketen aus unbekannten Quellen schädlich sein. Aber das ist doch bei jeder anderen Verpackung so, oder?
In verwandten Artikeln sollten Sie nachlesen, wie Sie Snap-Pakete in Ubuntu 16.04 verwenden. Und teilen Sie uns Ihre Meinung zu Snap und seiner Sicherheit mit.