Ubuntu 的 Snap 打包真的安全吗?

最近发布的 Ubuntu 16.04 LTS 带来了许多新功能,我们介绍的其中一项是包含 ZFS。 许多人一直在谈论的另一个功能是 Snap 包格式。 但根据其中一位开发人员的说法 核心操作系统,Snap 包并不像声称的那样安全。

什么是快照包?

Snap 包的灵感来自容器。 这种新的封装格式允许 开发人员为在 Ubuntu 长期支持 (LTS) 版本上运行的应用程序发布更新. 这使用户可以选择运行稳定的操作系统,但保持他们的应用程序更新。 这是通过将应用程序的所有依赖项包含在同一个包中来实现的。 这可以防止程序在依赖项更新时中断。

Snap 包的另一个优点是应用程序与系统的其余部分隔离。 这意味着如果您使用 Snap 包更改某些内容,它不会影响系统的其余部分。 它还可以防止其他应用程序访问您的私人信息,从而使黑客更难获取您的数据。

可是等等…

根据 Matthew Garrett 的说法,Snap 无法完全兑现最后的承诺。 Garret 在 CoreOS 担任 Linux 内核开发人员和安全开发人员,所以他应该知道他在说什么。

根据加勒特“您安装的任何 Snap 软件包都完全能够轻松地将您的所有私人数据复制到它想要的任何地方。”

ZDnet 报道:

“为了证明他的观点,他在 Snap 中构建了一个概念验证攻击包,它首先显示一个“可爱的”泰迪熊,然后记录来自 Firefox 并可用于窃取 SSH 私钥。 PoC 实际上注入了一个无害的命令,但可以进行调整以包括一个 cURL 会话来窃取 SSH 密钥。”

但是再等等……

Snap 真的存在安全漏洞吗? 显然不是这样。

Garret 本人表示,这个问题是由 X11 窗口系统引起的,并没有影响使用 Mir 的移动设备。 所以,这是 X11 中的缺陷造成的。 这不是 Snap 本身。

X11 怎样信任应用程序是一个众所周知的安全风险。 Snap 不会改变 X11 的信任模型,因此应用程序可以看到其他应用程序在做什么这一事实并不是新包格式的弱点,而是 X11 的弱点。

Garrett 实际上只是试图表明,当 Canonical 对 Snap 及其安全性赞不绝口时; Snap 应用程序没有完全沙盒化。 它们与任何其他二进制文件一样具有风险。

记住 Ubuntu 16.04 仍然使用 X11 显示,而不是 Mir,从未知来源下载和安装 Snap 软件包可能是有害的。 但任何其他包装都是如此,不是吗?

在相关文章中,您应该查看怎样在 Ubuntu 16.04 中使用 Snap 包。 请让我们知道您对 Snap 及其安全性的看法。