Est-il garanti que les logiciels des PPA Launchpad sont exempts de virus et de menaces de porte dérobée?

48

Au fur et à mesure que Linux grandit et se développe, et plus nous utilisons Linux, plus la menace virale est grande.

Nous savons également qu’un virus / une menace sous Linux (le cas échéant) aurait des difficultés à s’exécuter ou à se propager s’exécutant en tant qu’utilisateur normal, mais il en va différemment si le virus / la menace s’exécute en tant qu’utilisateur root.

Un exemple de ce danger serait si un virus est caché à l'intérieur d'un PPA (intentionnellement ou non) ou si une application a une backdoor plantée intentionnellement (par exemple, pidgin pourrait secrètement envoyer des mots de passe à une adresse particulière).

Si nous ajoutons un logiciel à partir d'un PPA Launchpad, est-il garanti que le logiciel provient de virus / menaces de porte dérobée gratuits?

Squallbayu
la source

Réponses:

38

Chaque script d'installation de paquet a un accès root sur votre système. Le simple fait d'ajouter un PPA ou d'en installer un à partir d'un paquet est donc une déclaration de confiance implicite de la part du propriétaire du PPA.

Alors, que se passe-t-il si votre confiance est mal placée et qu'un propriétaire d'APP veut être méchant?

Pour pouvoir télécharger vers un PPA, un package doit être signé par une clé GPG unique pour l'utilisateur du tableau de bord (en fait, la même clé avec laquelle ils ont signé le code de conduite). Donc, dans le cas d'un PPA malveillant connu, nous interdirions simplement le compte et fermerions le PPA (les systèmes affectés seraient toujours compromis, mais il n'y a pas de bonne façon de les réparer à ce stade).

Dans une certaine mesure, les fonctionnalités sociales de Launchpad peuvent être utilisées comme une mesure préventive contre les mauvais utilisateurs - une personne ayant déjà contribué à Ubuntu et un certain karma de Launchpad établi, par exemple, sont moins susceptibles de créer un PPA de piège.

Ou que se passe-t-il si quelqu'un acquiert le contrôle d'un APP qui ne lui appartient pas?

C’est un scénario de menace un peu plus dur, mais aussi moins probable, car il faut un attaquant qui récupère le fichier de clé privée des utilisateurs du tableau de bord (généralement uniquement sur leur ordinateur) ainsi que le code de déverrouillage correspondant (généralement un mot de passe fort utilisé pour autre chose). Cependant, si cela se produit, il est généralement assez simple pour quelqu'un de comprendre que son compte a été compromis (Launchpad l'enverra par exemple lui envoyer un courrier électronique au sujet des paquets qu'il n'a pas mis en ligne) et la procédure de nettoyage sera la même.

En résumé, les PPA sont un vecteur possible pour les logiciels malveillants, mais il existe probablement des méthodes beaucoup plus simples pour les attaquants.

Scott Ritchie
la source
6
Personnellement, je suis un "est-ce que la personne / l'équipe est un dev?" règle. C'est-à-dire, sont-ils l'auteur initial en amont ou un développeur Ubuntu? Si la réponse à ces deux questions est "non", je ne lui ferais pas beaucoup confiance si je ne connaissais pas la personne (par exemple, si je les guidais pour devenir dev.).
Maco
8

L'établissement d'un mécanisme (peut-être distribué) de notation de confiance pour les AAE figure depuis un moment déjà dans la feuille de route de l' USC , mais il n'a pas encore été mis en œuvre.

mgunes
la source
4
"USC" est "Ubuntu Software Center" si quelqu'un d'autre ne le sait pas (en supposant que vous ne suivez pas le lien vous-même).
Belacqua
6

Il n'y a jamais aucune garantie, mais dans un environnement soutenu par la communauté, nous prospérons sur la "conviction". J'ai ajouté au moins 20 PPA à mes sources et je n'ai jamais rencontré de problème jusqu'à présent. Si, par hasard et comme vous l'avez mentionné, un PPA a semé une menace / un virus / une porte dérobée sur mon système, je le saurais d'une manière ou d'une autre grâce à la communauté et le supprimerais tout simplement. Et BTW, avant d’ajouter un PPA, je vérifie toujours quels paquets y sont listés.

PS : Pidgin n’envoie jamais les noms d’utilisateur et les mots de passe aux serveurs (et jamais à des tiers!) "En secret". Tout est fait avec le consentement de l'utilisateur. Afin de vous garder connecté en toute transparence, Pidgin ne peut pas vous envoyer de ping à chaque fois qu'il envoie les informations de connexion aux serveurs. Il est attendu que vous l'ayez autorisé à le faire, une fois que vous avez fourni les détails. Je préférerais réfléchir à deux fois avant d'appeler Pidgin une "porte dérobée". :)

Srinivas G
la source
1
Pidgin enregistre toutefois les mots de passe en texte brut.
Gödel
1
Même Google-Chrome a sauvegardé les mots de passe en clair qui étaient trivialement exposables par une requête SQL (comme le souligne Jamie Strandboge ).
Belacqua
En ce qui concerne votre deuxième paragraphe, je pense que vous avez mal compris les intentions du PO. Il ne suggérait pas que Pidgin avait une porte dérobée. Il s'en est servi comme exemple hypothétique pour illustrer sa question.
Jon Bentley