我在新聞中讀到了有關感染 Android 作業系統的所有惡意軟體的資訊。該惡意軟體位於Google的應用程式商店中,人們在不知不覺中下載並安裝了它。
據我了解,Ubuntu 的主儲存庫對我來說是安全下載的(我不會因此而感染惡意軟體),因為 Canonical 工程師會審查該軟體。但是其他儲存庫,尤其是 Universe 儲存庫呢? Universe 儲存庫是否接受任何形式的審查以防止惡意軟體?由於擔心不知不覺地從中下載惡意軟體,是否建議避免使用 Universe 儲存庫?
我讀過 PPA 特別危險,因為它們沒有經過審查。不過,我假設使用 Google Chrome PPA 是完全安全的。
因此,如果我只使用 Main & Universe 儲存庫和 Google Chrome PPA,我是否會受到保護,不會在不知不覺中下載惡意軟體?
如果 Ubuntu 確實像 Mark Shuttleworth 預測的那樣獲得了數億用戶,那麼 Ubuntu PPA 是否會像今天 Android 上的 Google App Store 一樣成為 Ubuntu 的惡意軟體問題?
答案1
所有官方 Ubuntu 儲存庫(包括您可以在archive.ubuntu.com其鏡像上找到的任何內容,以及其他一些儲存庫)都是完全精心策劃的。這意味著main, restricted, universe,multiverse以及-updatesand -security。其中的所有軟體包要么來自 Debian(因此由 Debian 開發人員上傳),要么由 Ubuntu 開發人員上傳;在這兩種情況下,上傳的套件均透過上傳者的 gpg 簽章進行驗證。
因此,您可以相信官方檔案中的每個軟體包都是由 Debian 或 Ubuntu 開發人員上傳的。此外,您下載的軟體包可以透過儲存庫中檔案的 gpg 簽章進行驗證,因此您可以相信您下載的每個軟體套件都是從 Ubuntu 或 Debian 開發人員上傳的原始程式碼建構在 Ubuntu 建置場上的。
這使得徹底的惡意軟體不太可能出現——處於信任位置的人需要上傳它,並且上傳的內容可以輕鬆追蹤到他們。
這就留下了更隱蔽的邪惡行為的問題。上游開發人員可以將後門放入其他有用的軟體中,這些軟體可以將其放入存檔中 -universe或multiverse,具體取決於許可證。人們確實會對 Debian 存檔進行安全審核,因此如果該軟體變得流行,後門很可能會被發現。
其中的軟體包main進行了一些額外的檢查,並得到了 Ubuntu 安全團隊的更多喜愛。
購電協議幾乎沒有這些。您從 PPA 獲得的保證是,您下載的軟體包是在 Ubuntu 建置基礎架構上建置的,並且是由有權存取所列上傳者的 Launchpad 帳戶的 GPG 金鑰之一的人上傳的。無法保證上傳者就是他們所說的人 - 任何人都可以製作“Google Chrome PPA”。您需要以其他方式確定 PPA 的信任。
1:這種信任鏈可能會因對 Ubuntu 基礎設施的廣泛入侵而被破壞,但對於任何系統都是如此。開發人員 gpg 金鑰的洩漏也將允許黑帽將軟體包上傳到存檔,但由於存檔會透過電子郵件發送每個包的上傳者,因此應該很快注意到這一點。
答案2
Ubuntu 儲存庫中的所有軟體套件在上傳之前都會經過 MOTU(宇宙大師)的檢查和審核。 MOTU 是保持 Ubuntu 的宇宙和多元宇宙組件正常運作的勇敢靈魂。他們是社區成員,花時間盡可能添加、維護和支援 Universe 中的軟體。因此,這些軟體包不可能侵入您的電腦並竊取您的資料。然而,這些軟體包可能存在安全漏洞,即軟體中發現的缺陷。 Ubuntu 中也提供了一些包含安全性的軟體(例如鍵盤記錄器),但這些軟體套件不會竊取您的資料(除非有人故意將其安裝在您的電腦上)。
希望這可以幫助。請參閱 Ubuntu 維基頁面莫圖了解更多。
答案3
保留 Main 和 Universe 儲存庫非常安全,如果 PPA 特別受歡迎(大多數時候),或者您知道它們將是安全的(例如 Google Chrome PPA),那麼 PPA 也是安全的。類型的惡意軟體。
如果 Ubuntu 獲得大量用戶,那麼是的,可能會有更多的惡意軟體。但我認為這還不足以成為真正的問題。