Un desarrollador demuestra que los Snaps de Ubuntu no son seguros por culpa de X11

1366 2000

Genbeta. Ubuntu 16.04 fue lanzado ayer con una buena colección de novedades, entre las que las más destacada es el nuevo sistema de paquetería Snap, al que ya se han subido aplicaciones como Firefox. Como ya os hemos comentado Canonical promete que las aplicaciones que lo utilizan son más seguras, pero ya han aparecido las primeras voces que les llevan la contraria.

Y son voces cualificadas como la de Matthew Garrett, desarrollador de seguridad en CoreOS y contribuidor en el Kernel Linux. Según ha escrito en su blog el sistema de ventanas X.ORG Server, que sigue siendo el sistema que utiliza Ubuntu por defecto en su nueva versión, hace que los los Snaps puedan robar fácilmente los datos de otras aplicaciones.

 

¿Dónde está el problema?


Tal y como ha apuntado el propio Garrett, el problema está en la anticuada infraestructura de X11, que no es precisamente famosa por su seguridad y donde cualquier aplicación puede programarse para registrar las pulsaciones de teclado de otra, o incluso inyectar eventos clave falsos en la corriente de entrada.

Para demostrarlo ha cogido el proyecto malicioso XEvilTeddy de GitHub y ha creado con la herramienta Snapcraft de Canonical una aplicación con la que registrar todo lo que se escribe en el navegador Firefox. Con ella no sólo ha podido obtener todo lo escrito en el navegador, sino también inyectar un comando para subir las claves privadas SSH a un servidor propio.

Matthew Garrett concluye que Snap es un importante paso adelante en seguridad, pero que hasta Ubuntu no migre definitivamente a Mir por defecto las protecciones que ofrece el sistema han demostrado ser fácilmente evitables. Es evidente que a Canonical aun le queda un largo camino con sus Snaps, pero un paso en falso ahora puede ser fatal para la implantación de su nueva propuesta.

 

La noticia Un desarrollador demuestra que los Snaps de Ubuntu no son seguros por culpa de X11 fue publicada originalmente en Genbeta por Yúbal FM.



Vía Genbeta