| 導讀 | 4/21 日,Canonical 揭曉了他們最新的 Ubuntu Linux 操作系統 Ubuntu 16.04 LTS(Xenial Xerus),在這個版本中,有個重要的功能是,Ubuntu 16.04 LTS 可以同時支持 deb 和 snap 兩種軟件包格式。snap 軟件包格式用在 Canonical 的物聯網操作系統 Snappy Ubuntu Core 中。 |
snap 軟件包格式用來設計配合 Canonical 的新一代顯示服務器 Mir 協同工作,它默認用在 Ubunut Touch 移動操作系統上,支持 Ubuntu 電話,以及新的 Ubuntu 平板: BQ Aquaris M10 Ubuntu 版,以給用戶提供一流的安全性。
通過在 Ubuntu 桌面版和 Ubuntu 服務器版中支持安裝 snap 軟件包,Canonical 在給 Ubuntu 用戶及時地提供軟件更新方面取得了長足進展。Mozilla 是第一個在 Ubuntu 上以 snap 軟件包格式提供軟件的廠商,估計今年稍晚時候就會提供 Firefox 的 snap 包。
據著名的 CoreOS 安全開發者及 Linux 內核貢獻者 Matthew Garrett 稱, Canonical 的新式 snap 軟件包格式用在 X.Org 服務器(X11 Window 系統)下很不安全,而 X11 目前仍舊是 Ubuntu 16.04 LTS 的默認顯示服務器。
這個問題本質上是由於 X11 的古老設計,衆所周知它在安全性上很差。Matthew Garrett 製作了一個簡單的 snap 軟件包來演示這個問題,它可以做到從其它的 X11 軟件中偷取數據,比如可以獲取你在 Mozilla Firefox 瀏覽器中輸入的內容。
到目前爲止,snap 格式還沒流行起來,特別是因爲目前只有很少的軟件包支持這種格式。但是這也許不久就會改變,越來越多的開發者會以 snap 格式提供他們的軟件,所以 Canonical 需要爲使用 X11 的 Ubuntu 的安全性做些工作。
這也是爲何大多數 GNU/Linux 發行版應該儘快切換到 Wayland 或 Mir 顯示服務器的另外一個原因,尤其是現在的大多數桌面環境(如 GNOME 和 KDE)都支持它們了。不過,從另外一方面說,這個 snap 的安全問題不會影響到 Ubuntu 服務器操作系統,因爲它根本沒有顯示服務器。
我們按照 Mr. Garrett 的指導,在一個最新更新的 Ubuntu 16.04 LTS 的機器上使用 Snapcraft 創建了 xevilteddy 的 snap 包。成功的創建了 snap 並安裝之後,我們確認,當你看到如下的截屏時,這表明 xevilteddy 應用可以偷取你在另外一個 X11 應用中輸入的任何內容,也能夠使用 curl 將你的 SSH 密鑰發送到遠程的站點去。
本文轉載自:http://www.linuxprobe.com/snap-format-unsafe
免費提供最新Linux技術教程書籍,爲開源技術愛好者努力做得更多更好:http://www.linuxprobe.com/