Launchpad PPAのソフトウェアにウイルスやバックドアの脅威がないという保証はありますか?


48

Linuxが成長および開発を続けており、Linuxを使用すればするほど、ウイルスの脅威は大きくなります。

Linuxのウイルス/脅威(存在する場合)が通常のユーザーとして実行されている場合、実行または拡散が困難であることもわかっていますが、ウイルス/脅威がrootユーザーとして実行されている場合は別の話です。

この危険性の例は、PPA内にウイルスが隠れている場合(意図的または意図せず)、またはアプリケーションに意図的にバックドアが埋め込まれている場合(たとえば、pidginがパスワードを特定のアドレスに密かに送信できる場合)です。

Launchpad PPAからソフトウェアを追加する場合、ソフトウェアが無料のウイルス/バックドア脅威からのものであるという保証はありますか?

回答:


38

すべてのパッケージのインストールスクリプトはシステムへのルートアクセス権を持っているため、PPAを追加したり、PPAからパッケージをインストールしたりするだけの行為は、PPA所有者側の暗黙の信頼宣言です。

それで、あなたの信頼が誤って置かれ、PPA所有者がいたずらになりたい場合はどうなりますか?

PPAにアップロードするには、ランチパッドユーザーに固有のGPGキー(実際、行動規範に署名したのと同じキー)でパッケージに署名する必要があります。したがって、既知の悪意のあるPPAの場合、アカウントを単に禁止し、PPAをシャットダウンします(影響を受けるシステムは依然として侵害されますが、とにかくそれらを修正する良い方法はありません)。

ある程度、Launchpadのソーシャル機能は、悪意のあるユーザーの少しの予防手段として使用できます。たとえば、Ubuntuに貢献した歴史があり、Launchpadカルマを確立した人は、トラップPPAを設定する可能性が低くなります。

または、誰かが自分のものではないPPAの制御を取得した場合はどうなりますか?

まあ、これは脅威シナリオでは少し難しいですが、攻撃者がランチパッドユーザーの秘密キーファイル(通常はコンピューター上のみ)とロック解除コード(通常は強力なパスワードではなく、両方を取得する必要があるため)その他に使用されます)。ただし、これが発生した場合、通常、誰かが自分のアカウントが侵害されていることを把握するのはかなり簡単です(たとえば、Launchpadはアップロードしていないパッケージについてメールで通知します)。クリーンアップ手順は同じです。

つまり、要するに、PPAは悪意のあるソフトウェアのベクトルになる可能性がありますが、攻撃者があなたの後を追いかけるためのはるかに簡単な方法がおそらくあるでしょう。


6
私は個人的に「人/チームは開発者ですか?」ルール。つまり、彼らは元の上流の著者なのか、それともUbuntu開発者なのか?両方の答えが「いいえ」の場合、その人を知らない限り、あまり信頼しません(たとえば、開発者になるよう指導していた場合)。
マコ

8

PPAの信頼評価(おそらく分散)メカニズムの確立は、しばらくの間USCロードマップ上にありましたが、まだ実装されていません。


4
「USC」は、他の誰かがこれに気付いていない場合は「Ubuntu Software Center」です(自分でリンクをたどらないと仮定)。
ベラク

6

保証はありませんが、コミュニティに支えられた環境では、「信念」に基づいて繁栄します。少なくとも20のPPAをソースに追加しましたが、これまで問題は発生しませんでした。万が一、あなたが言ったように、PPAによって私のシステムに脅威/ウイルス/バックドアが仕掛けられた場合、コミュニティの厚意により、どういうわけかそれを知り、それを単に削除します。ところで、PPAを追加する前に、どのパッケージがリストされているかを常に確認しています。

PS:Pidginはユーザー名とパスワードをサーバーに(決して第三者に)密かに送信しません。すべてはユーザーの同意を得て行われます。シームレスな接続を維持するために、Pidginはログイン資格情報をサーバーに送信するたびにpingを実行できません。詳細を提供したら、承認する必要があります。Pidginを「バックドア」と呼ぶ前に、考え直したいと思います。:)


1
ただし、Pidginはパスワードをプレーンテキストで保存します。
ゲーデル

1
google-chromeでも、SQLクエリで簡単に公開できるクリアテキストパスワードを保存しました(Jamie Strandbogeが指摘したように)。
ベラク

2番目の段落については、OPの意図を誤解したと思います。彼は、Pidginにバックドアがあることを示唆していませんでした。彼は彼の質問を説明するために仮説的な例としてそれを使用しました。
ジョンベントレー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.