web-dev-qa-db-fra.com

Pourriez-vous éventuellement installer un programme malveillant en utilisant apt-get?

Lors de l'installation de divers programmes, on me demande de télécharger certains packages nécessaires à son fonctionnement. Certaines d'entre elles sont des applications bien connues, où le document Lisez-moi est fiable, alors que d'autres programmes moins connus sont ceux pour lesquels je suppose que je dois faire attention.

Donc, j'essaye d'installer un jeu appelé Tennis Elbow, où le document de lecture me dit:

Sur Ubuntu 14.10 64 bits, les instructions suivantes ont bien fonctionné:

Sudo apt-get install libcurl3:i386
Sudo apt-get install libvorbisfile3:i386

Alors, comment pouvons-nous savoir si les fichiers que je télécharge sont sécurisés ou non?

Je sais que cela semble être plus d’une question, mais j’ai essentiellement besoin de ce jeu pour fonctionner, et j’ai juste besoin de savoir s’il est sûr d’installer les packages mentionnés ou non.

8
Harsha

Est-il possible d'installer un programme malveillant en utilisant apt-get? Bien sûr, mais cela nécessite la présence d’un logiciel malveillant dans les référentiels répertoriés de votre ordinateur. Cela peut se produire:

  • Si vous avez ajouté un référentiel malveillant, il peut fournir des packages malveillants. Les PPA, par exemple, pourraient contenir du code malveillant. Ils peuvent également fournir tout paquet (ils pourraient fournir un remplacement ubuntu-minimal qui infecterait tout le monde .

  • Mais pas seulement les AAE. Les logiciels des référentiels principaux peuvent être infectés, soit parce que le responsable Ubuntu est piraté ou mécontent, soit parce que le responsable Debian en amont est piraté ou mécontent, ou que le développeur original est piraté ou mécontent et que le code défectueux filtre au travers sans être capturé.

  • Quelqu'un a réussi à intercepter votre trafic réseau et à signer le manifeste d'un paquet ou à modifier un paquet binaire sans modifier la somme de contrôle du paquet.

    Les deux sont incroyablement peu probables à moins que vous n'ayez ajouté des clés aléatoires, mais même dans ce cas, il est difficile de ne pas être au moins partiellement sur site. C'est un hack assez compliqué à retirer.

Mais est-ce que cela est probable ici? Est-ce que cela vous dit d'installer un logiciel malveillant?

Non. Il vous demande simplement d'installer les versions 32 bits de ces bibliothèques car elles sont utilisées mais compilées à l'aide de leurs versions 32 bits.

Mais que sont-ils? libcurl3 est utilisé pour télécharger des éléments dans une application et libvorbisfile3 est utilisé pour le décodage Vorbis - audio encodé.

Le :i386 à la fin du nom du paquet signifie. C'est spécifier l'architecture. Dans le cas d'Ubuntu, nous utilisons i386 pour désigner 32 bits, il est en fait compilé avec les instructions du processeur i686.


Si vous voulez être paranoïaque à propos de quoi que ce soit, télécharger et exécuter un fichier binaire source fermé à partir d'un site Web aléatoire constitue le danger réel.

12
Oli