A nova versão do Ubuntu, que chegou no final da semana passada, trouxe um conjunto de novidades bem interessantes. Muito para além da actualização das aplicações e dos serviços que correm no Ubuntu, a versão 16.04 trouxe também um novo sistema de pacotes, o Snap, mais seguro. A verdade é que o Snap pode até não ser seguro, pelo menos na versão Desktop do Ubuntu.
Os mecanismos de segurança que o Snap implementa conseguem garantir um isolamento das aplicações e do sistema operativo, oferecendo uma camada de segurança adicional e que permite ao utilizador instalar qualquer aplicação sem ter de se preocupar com o impacto que vai ter no sistema.
Mas segundo Matthew Garrett, um bem conhecido investigador de segurança e programador, a segurança que a Canonical prometeu com o Snap não é real, pelo menos nas versões Desktop. Essa segurança é real nas versões móveis do Ubuntu, mas não existem nas restantes.
A prova de conceito criada para mostrar a falha do Ubuntu
Para provar o seu ponto de vista, Matthew Garrett criou um pacote Snap, dedicado a atacar o Ubuntu e os seus utilizadores. Numa primeira fase esta aplicação limitava-se a mostrar um urso de peluche, mas por trás estava a registar o que era escrito no Firefox, ao mesmo tempo que podia roubar as chaves provadas SSH. A prova de conceito criada injectava alguns comandos inofensivos, mas podia ser usada para comandos mal intencionados.
Quem tem a culpa desta falta de segurança
A causa para a falha de segurança que o Snap e o Ubuntu têm está num ponto do sistema que há muitos anos que é usado e que nunca foi melhorado. Matthew Garrett aponta o dedo ao sistema de janelas X11 e à forma como lida com as diferentes camadas de acesso aos dados.
Facilmente qualquer aplicação que corra dentro deste sistema de janelas pode aceder aos dados dos utilizadores e às informações que estes estão a enviar para a Internet, por exemplo, e remetê-las para um servidor qualquer.
Este é um problema que a Canonical e o Ubuntu não controlam, mas que limita de forma completa toda a segurança que os utilizadores julgavam presente e a funcionar.