Flatpak — страшный сон безопасности

FlatpakLinuxSnapПриложенияПрограммное обеспечение

Flatpak от Red Hat в последнее время привлекает очень много внимания. Он является новым, самопровозглашенным способом распространения настольных приложений на Linux. Говорят, там безопасно…

Песочница в flatpak — это ложь


Почти все популярные приложения на flathub поставляются с правами доступа filesystem=host, filesystem=home или device=all, то есть c разрешением на запись в домашний каталог пользователя (и не только). Это фактически означает, что все, что требуется для «выхода из песочницы» — это echo download_and_execute_evil >> ~/.bashrc. Вот и все!

Такое можно провернуть с такими программами, как Gimp, VSCode, PyCharm, Octave, Inkscape, Steam, Audacity, VLC и т.д.

Что еще хуже, пользователей вводит в заблуждение тот факт, что полагается, что приложения работают в «песочнице». Для всех этих приложений flatpak показывает обнадеживающую иконку «песочницы» при установке приложения (даже при установке в командной строке не становятся намного лучше — вам нужно разбираться во внутренних компонентах flatpak, чтобы понимать все нюансы предупреждений).

Вы НЕ получаете обновления безопасности своевременно


В официальных приложениях и различных средах выполнения часто находятся различные уязвимости и их эксплоиты. Некоторые из них были известны в течение полугода. Они были быстро исправлены во многих дистрибутивах Linux, но не в flatpak.

Да, возможно, ваша программа была скомпрометирована, если вы поставили ее из flatpak. Мы буквально говорим о публичных эксплойтах, которые появились несколько месяцев назад. Вы открывали когда-нибудь изображение в flatpak Gimp? Критическая уязвимость «shell in the ghost» была исправлена ​​в flatpak примерно спустя месяц после исправления в других Linux дистрибутивах.


Статьи по теме


Давайте пройдемся по DSA и поищем что-нибудь тривиальное для использования.

CVE-2018-11235 зарегистрирован и исправлен только спустя 4 месяца. Flatpak VSCode, Android Studio и Sublime Text по-прежнему использовали устаревшую версию git 2.9.3. Также обратите внимание, что flatpak PyCharm поставлялся с git 2.19.0 с исправленной проблемой, но все еще с уязвимостью для CVE-2018-17456.

Мы также можем продемонстрировать пример уязвимости, где будем использовать Sublime с плагином GitSavvy с рекурсивным клонированием (плагин на https://github.com/divmain/GitSavvy/tree/dev, команда для клонирования git: clone recursively, параметр git: //flatkill.org/cve-2018 -11235).

Локальный корневой эксплойт? Незначительная проблема!


Вплоть до версии 0.8.7 все, что требовалось для получения root на хосте — это установить пакет flatpak, содержащий бинарный файл suid (Flatpak устанавливается в /var/lib/flatpak на вашей хост-машине). Опять же, что может быть проще? Высокий уровень серьезности в безопасности был назначен для уязвимости CVE-2017-9780 (CVSS Score 7.2). Разработчики Flatpak посчитали это незначительной проблемой в безопасности.

Будущее распространения приложений за flatpak?


Будем надеяться, что нет! К сожалению, очевидно, что разработчики Red Hat, работающие на flatpak, не заботятся о безопасности. Но их самопровозглашенная цель — заменить все десктопные программы — краеугольный камень безопасности Linux.

И дело не только в этих проблемах безопасности. Хотите запустить приложения от KDE в flatpak? Забудьте тогда об интеграции с рабочим столом (даже о размере шрифта). Нужно Вам, к примеру, ввести китайские/японские/корейские символы? Забудьте и об этом тоже — fcitx был сломан начиная с flatpak 1.0 и с тех пор никогда не исправлялся.

То, как мы упаковываем и распространяем настольные приложения в Linux, безусловно, необходимо переосмыслить, но к сожалению, flatpak создает больше проблем, чем решает их.

Источник: FlatKill.org

Рекомендуемый контент

One thought on “Flatpak — страшный сон безопасности

  1. Согласен со статьей, flatpak и snap — дрянь небезопасная и особенно неюзабельная. Предпочитаю ставить сборки в тарболах типа pale moon, seamonkey и appimage в отдельную папку в хомяке, что очень удобно для звмены ос, удобно использовать, создав для них ярлыки в меню или на раб столе. Если же паранойя, то папку с этим софтом можно защить root доступом.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *