Portada
Hace 8 años | Por Marx a mjg59.dreamwidth.org
Publicado hace 8 años por Marx a mjg59.dreamwidth.org

Un desarrollador demuestra que los Snaps de Ubuntu no son seguros por culpa de X11 [ING]

 mjg59.dreamwidth.org

Matthew Garrett, desarrollador de seguridad en CoreOS y contribuidor en el Kernel Linux, dice que el sistema de ventanas X.ORG Server, sistema que utiliza Ubuntu por defecto en su nueva versión, hace que los los Snaps puedan robar fácilmente los datos de otras aplicaciones. Para demostrarlo ha cogido el proyecto malicioso XEvilTeddy de GitHub y ha creado con la herramienta Snapcraft de Canonical una aplicación con la que registrar todo lo que se escribe en el navegador Firefox. Obtuvo todo lo escrito en el navegador y robó las claves SSH.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 131 14

Comentarios

Polmac
editado

#11 Esta es la tecnología por la que apuesta él: https://en.m.wikipedia.org/wiki/Xdg-app

También es un sistema se paquetes tipo sandbox, y también falla sobre X11, porque NO es culpa de los Snaps ni de x.dg-app que suceda esto.

Lo que pasa es que ellos han decido no dar soporte a X11 y usar su tecnología sólo con Wayland, y critican la decisión de Ubuntu de no hacer lo mismo (en su caso con Mir). Lo cual en mi opinión es una tontería, porque el sandboxing sólo es una cualidad más de los Snaps, que son un nuevo concepto de distribución de aplicaciones, y cuánto antes lo empieces a utilizar, mejor: antes empezará a haber aplicaciones que lo utilicen. Y esto es un problema de seguridad ocasionado por un tercero cuando se dan condiciones muy específicas (tienes que haber instalado un paquete "infectado" y que se esté ejecutando al mismo tiempo que la aplicación a la que le quieres "robar" datos).

A la gente de x.dg-app le jode que van a llegar tarde a la fiesta y les van a comer la merienda.

V 2
K 39
ann_pe
editado

#13 Yo veo simplemente un artículo que informa sobre la seguridad de los sandbox, si tiene segundas intenciones no lo sé y me da igual porque me parece interesante que la gente esté informada a la hora de usar paquetes no confiables bajados de fuera de los repositorios oficiales, sean deb o snap.

Y para mejorar la seguridad en estos casos quizá se puede lanzar un sandbox sobre otro sandbox: firejail --x11

https://firejail.wordpress.com/features-3/man-firejail/

V 0
K 11
zoezoe

Update: We followed Mr. Garrett's instructions on creating the xevilteddy snap with Snapcraft in Ubuntu 16.04 LTS (Xenial Xerus) with all updates applied. The snap was successfully created and installed. We can confirm, as you can see from the screenshot below, that indeed the xevilteddy app can steal everything you type in another X11 software piece, and possibly use cURL to send your SSH keys to a remote site.

Prueba de concepto -> http://i1-news.softpedia-static.com/images/news2/developer-claims-that-canonical-s-new-snap-format-isn-t-secure-on-ubuntu-desktop-503287-3.jpg

V 3
K 38
D

¿Una cagada épica? ¿O una feature?

Yo solo digo que con Wayland esto no pasa.

V 2
K 36
Polmac
editado

#2 Y con Mir tampoco. Esto aprovecha un fallo de seguridad de X11, y afecta a todo lo que se use bajo X11: .deb, .rpm, etcétera.

El señor Garrett está intentando engañar al personal para tratar de desprestigiar a los Snaps (como si el fallo tuviera algo que ver con ellos) y promocionar su propia tecnología de paquetes, que él mismo reconoce que también es vulnerable bajo X11.

Este señor es un troll y un aprovechado, y esta noticia es errónea.

V 7
K 48
ann_pe

#10 No estoy de acuerdo. La diferencia y ventaja de Snap frente a otros sistemas de paquetes es el sandboxing, y lo que está diciendo el autor es que el sandboxing falla, no que falle el sistema de paquetes.

¿Qué tecnología intenta promocionar el autor de la noticia según tu?

V 1
K 14
M
autor

En español: http://www.genbeta.com/linux/un-desarrollador-demuestra-que-los-snaps-de-ubuntu-no-son-seguros-por-culpa-de-x11

V 2
K 34
D

Errónea, snap no se usa por defecto, su uso es optativo, por defecto se usan los DEB

V 2
K 34
ann_pe
editado

#6 La noticia no dice en ningún momento que Ubuntu priorice Snap sobre Deb.

V 1
K 21
D

#7 Cierto, leí mal yo. dice que usa X11 por defecto

V 0
K 10
D

De todas maneras creando un paquete de cualquier otro formato (deb o rpm) de xevilteddybear se obtiene el mismo resultado.

V 2
K 32
D

Esto tiene más de sensacionalismo intencionado del que ha escrito la noticia que otra cosa. Se sabe desde hace años que las X no son seguras. Da igual lo que o como se ejecuten cosas con ellas, no son seguras.

V 2
K 32
Candidatas
24
meneos
tecnología Elon Musk avisa: China “demolería” a los fabricantes occidentales de no ser por las barreras comerciales
10
meneos
tecnología Las razones históricas por las que el navegador Firefox se llama Firefox, tras algunos estropicios (ENG)
15
meneos
tecnología Así funciona la desinformación y el discurso de odio racista que se propaga impune por la red
10
meneos
tecnología Microsoft alcanza un hito: firma el acuerdo más grande de energía renovable para impulsar su IA
11
meneos
tecnología Las ventas de coches eléctricos en España crecen un 10% en abril
24
meneos
tecnología Irlanda propone un peaje a los desplazamientos en coche eléctrico
52
meneos
tecnología De negar el COVID al Falcon: así trabaja la factoría de bulos que surte de munición a la extrema derecha
10
meneos
tecnología El espejo primario de Vera Rubin obtiene su primer revestimiento reflectante
5
meneos
tecnología Para lidiar con la IA generativa, hay que convertirla en un problema público
8
meneos
tecnología Spotify HiFi: una filtración detalla el plan de audio sin pérdidas
17
meneos
tecnología PiServer con Docker ¿Qué es Docker? Ventajas, componentes, tipos de Dockers e instalación
21
meneos
tecnología Así es como funciona la Holotile de Disney [ENG]
7
meneos
tecnología Cómo escuchar música en YouTube en segundo plano y con la pantalla de tu móvil bloqueada
8
meneos
tecnología Google abre un formulario para quejarse sobre los resultados de búsqueda
9
meneos
tecnología Las ventas de coches electrificados siguen sin avanzar
6
meneos
tecnología Cuatro meses de cárcel para Changpeng Zhao, fundador del mercado de criptomonedas Binance
8
meneos
tecnología Optimus, el robot de Tesla, se venderá a fines de 2025: ¿qué podrá hacer y cuánto costará?
7
meneos
tecnología ¿Una sola carga a la semana? Los nuevos coches eléctricos ya lo permiten
13
meneos
tecnología Hemos recorrido 2.500 kilómetros con un coche eléctrico y hemos aprendido algo: el diésel sigue siendo el rey
8
meneos
tecnología Científicos chinos crean una batería de agua con el doble de capacidad que las de litio
ann_pe

Si usas paquetes snaps no confiables usa Wayland (gnome-session-wayland):

https://wiki.ubuntu.com/XenialXerus/ReleaseNotes/UbuntuGNOME#Features_of_Ubuntu_GNOME_16.04_LTS

V 2
K 31
Frederic_Bourdin

Jaja justo venía de leerlo.

V 0
K 10