Open Source im professionellen Einsatz

Matthew Garrett: Snap-Isolation funktioniert auf X11-Systemen nicht

22.04.2016

Pünktlich zum Erscheinen von Ubuntu 16.04 zeigt Matthew Garrett, dass die neuen Snaps auf Ubuntus Desktop-Systemen keine völlige Sicherheit durch Isolation bieten.

277

Matthew Garrett ist als Kritiker von Canonical, dem Unternehmen hinter Ubuntu, bekannt. Pünktlich zur Veröffentlichung von Ubuntu 16.04 zeigt er nun in einem Blogeintrag, dass Ubuntus neues Snap-Format auf X11-Systemen nicht sicher ist, wie es Canonical gern hätte.

Dazu hat Garrett eine kleine App namens Xteddy aus den 90er Jahren in Xevilteddy verwandelt. Wer sie mit dem Tool Snapcraft in einen Snap verwandelt und dann installiert, könne die Eingaben einer Anwendung, in diesem Fall von Firefox, im Terminal mitlesen. Laut Garrett lasse sich das Problem auch nicht mit (automatischen) Codereviews verhindern, die Canonical vor dem Upload von Software in das Snap-Repository vornimmt. Verschleierter Code könne solche Checks überlisten.

Tatsächlich ist das Problem des unsicheren X11 nicht neu. Bereits 2011 hat etwa die Sicherheitsforscherin Joanna Rutkoswka auf die Unsicherheit des mehr als 30 Jahre alten X-Window-System hingewiesen. Die Unsicherheit von X11 betrifft auch andere Distributionen, die auf das X-Window-System setzen, das sind so gut wie alle. Sie ist einer der vielen Gründe, warum Distributionen Wayland oder Mir wollen.

Garrett selbst gibt zu, dass das Problem für Ubuntu Mobile nicht bestehe, weil hier Mir zum Einsatz komme. Auch Wayland sei mit Sicherheit im Hinterkopf entwickelt worden. Die Desktop-Version von Ubuntu verzichtet bislang allerdings auf Mir, hier lässt sich lediglich eine sehr experimentelle Vorabversion testen.

Wer also angesichts des noch jungen Formats Sicherheitsbedenken hat, sollte Snaps schlicht nicht installieren. Die herkömmlichen Debian-Pakete können zwar ebenfalls bösartigen Code enthalten. Sie haben allerdings den Vorteil, dass deutlich mehr Leute einen Blick darauf werfen, da sie neben Ubuntu meist auch im Debian-Projekt zum Einsatz kommen, wo es unter anderem ein manuelles Paket-Auditing gibt.

Ähnliche Artikel

  • Matthew Garrett kritisiert Linux Foundation

    Der Linux-Entwickler Matthew Garrett wirft der Linux Foundation eine Abkehr von der Community vor.

  • FSF zeichnet Matthew Garrett und Gnome-Frauen aus

    Auf ihrer Konferenz Libre Planet am MIT hat die Free Software Foundation (FSF) die Auszeichnungen Award for the Advancement of Free Software und Award for Projects of Social Benefit verliehen.

  • Linus Torvalds: "CLAs sind immer falsch"

    Wenn sich Kernelentwickler wie Matthew Garrett, Linus Torvalds, Greg Kroah-Hartman, Kay Sievers und Lennart Poettering kurz nacheinander zu einer Thematik äußern, lässt das aufhorchen. Wieder einmal spalten die Contributor License Agreements (CLA) die Community.

  • Matthew Garrett bemängelt Kernel-Security

    Die Ankündigung eines Kernel-Self-Protecting-Projekts und Medienberichte über Linus Torvalds vermeintliche Abneigung gegen Security-Themen haben eine Debatte zum Thema Kernel-Sicherheit entfacht. Nun meldet sich auch Linux-Entwickler Matthew Garrett zu Wort.

  • Matthew Garrett wirft Oracle GPL-Trickserei vor

    Anlässlich eines aktuellen Gerichtsurteils, das Oracle Copyright am Java-API zuspricht, äußert der britische Linux-Entwickler Matthew Garrett Kritik am Umgang des Unternehmens mit der GPL-Lizenz der Linux-Kernels.

comments powered by Disqus

Ausgabe 07/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.