Минуло близько чотирьох років відтоді, як я перейшов на Manjaro. Частково провина лежить на Canonical та його тиранії, яка... серед інших речі включають їхні пакети snap. Серед інших причин можу сказати, що я просто спробував інший варіант, щоб не публікувати так багато про Ubuntu та AUR, репозиторій, у якому є абсолютно все. Навіть кажуть, що якщо чогось немає в AUR, то для Linux цього не існує. Але цей репозиторій належить спільноті, і він має свої небезпеки.
На форумах Manjaro є багато запитань щодо репозиторію користувачів Arch, і серед відповідей ми зазвичай знаходимо те, що не підтримуєтьсяНасправді, це також не підтримується Arch Linux. Що ви маєте на увазі під "не підтримується"? Ну, все дуже просто: це підтримується, інакше б його не існувало, але вони чітко вказують, що пакети завантажуються учасниками та жодним чином не перевіряються. Цілком можливо, хоча й не дуже ймовірно, що те, що щойно сталося, може статися.
Firefox та інші браузери AUR зі шкідливим програмним забезпеченням
Протягом цього тижня, користувач завантажив шкідливі пакети з firefox-patch-bin, librewolf-fix-bin та zen-browser-patched-bin. Ці пакети призначені для браузерів на базі Firefox, а розширення -bin зазвичай означає, що він вже скомпільований, що заощаджує час під час встановлення. Ці пакети зрештою встановили бінарний файл з репозиторію GitHub, який виявився трояном, що надавав віддалений доступ.
Адміністратори AUR виявили це приблизно через 48 годин і вжили необхідних заходів. Крім того, як пояснюється в попереджувальна примітка, рекомендую видалити пакети зі списку вище, якщо вони були встановлені.
Щось змінилось?
Ні. І це «добре», що це сталося. Це служить як попередження про те, що може статися в AUR, але подібні випадки також були в Ubuntu. Наведемо кілька прикладів: у Snap Store, що належить Canonical, було виявлено проникнення деяких програм із шкідливим програмним забезпеченням, і Користувач змінив інсталятор Ubuntu, щоб відображати образливі повідомлення..
Це може статися у спільній роботі, коли хтось [вставте сюди свою образу] вирішує робити такі речі. Але хороша річ у відкритому програмному забезпеченні та його спільноті полягає в тому, що є багато очей, які спостерігають, і Це не найпоширеніша річ, коли щось подібне потрапляє до кінцевого користувача..
Аналізуючи програмне забезпечення, вони схильні вибирати менш популярні програми — популярні аналізуються частіше — аж до того, що вибирають не лише повні пакети браузера, але й патчі, які рідко встановлюються. Firefox знаходиться в офіційних репозиторіях більшості дистрибутивів Linux, а LibreWolf та Zen Browser мають відповідні пакети -bin, завантажені кимось, пов’язаним із проектом.
Цей останній пункт важливий. Коли ми збираємося встановити пакет з AUR, Варто переглянути посилання розробника.Часто вони самі завантажують пакет. Також варто перевірити назву пакета: zen-browser-bin — це не те саме, що патч для шкідливого програмного забезпечення. Великий екран Він довший, з ланцюжком, який потрібно буде перевірити повністю, щоб переконатися, що встановлено версію розробника.
У будь-якому разі, це доказ того, що Linux не такий безпечний, як багато хто думає.