我在新闻中看到,很多恶意软件正在感染 Android 操作系统。这些恶意软件位于 Google 的应用商店中,人们在不知情的情况下下载并安装它们。
据我所知,Ubuntu 的主存储库对我来说是安全的(我不会因此感染恶意软件),因为 Canonical 工程师会审查软件。但其他存储库呢,尤其是 Universe 存储库?Universe 存储库是否接受任何形式的审查以防范恶意软件?是否建议避免使用 Universe 存储库,因为担心在不知情的情况下从中下载恶意软件?
我读到过 PPA 特别危险,因为它们没有经过审核。但我认为使用 Google Chrome PPA 是绝对安全的。
因此,如果我只使用 Main 和 Universe 存储库以及 Google Chrome PPA,我是否可以避免在不知情的情况下下载恶意软件?
如果 Ubuntu 真的像 Mark Shuttleworth 预测的那样获得了数亿用户,那么 Ubuntu PPA 会不会成为 Ubuntu 的恶意软件问题,就像今天的谷歌应用商店之于 Android 一样?
答案1
所有官方 Ubuntu 存储库(包括您可以在archive.ubuntu.com
或其镜像上找到的任何内容,以及其他一些存储库)都是经过精心策划的。这意味着、main
、restricted
、universe
以及multiverse
。其中的所有软件包要么来自 Debian(因此由 Debian 开发人员上传),要么由 Ubuntu 开发人员上传;在这两种情况下,上传的软件包都通过上传者的 gpg 签名进行身份验证。-updates
-security
因此,您可以相信官方档案库中的每个软件包都是由 Debian 或 Ubuntu 开发人员上传的。此外,您下载的软件包可以通过存储库中文件的 gpg 签名进行验证,因此您可以相信您下载的每个软件包都是在 Ubuntu 构建场上从 Ubuntu 或 Debian 开发人员上传的源代码构建的¹。
这使得彻头彻尾的恶意软件不太可能发生——需要有值得信任的人上传它,并且上传很容易被追踪到他们。
这就引出了更多隐蔽的邪恶行为的问题。上游开发人员可以将后门放入原本有用的软件中,这些后门可能会进入档案库 - 或universe
,multiverse
具体取决于许可证。人们确实对 Debian 档案库进行了安全审核,因此如果该软件变得流行,后门很可能会被发现。
中的软件包main
经过了一些额外的检查,并得到了 Ubuntu 安全团队的更多关注。
PPA 几乎不具备这些。PPA 提供的保证是,您下载的软件包是在 Ubuntu 构建基础架构上构建的,并且是由有权访问列出的上传者的 Launchpad 帐户的 GPG 密钥之一的人上传的。无法保证上传者就是他们所说的那个人 - 任何人都可以制作“Google Chrome PPA”。您需要以其他方式确定对 PPA 的信任。
¹:如果对 Ubuntu 基础设施进行大规模入侵,这种信任链可能会被破坏,但任何系统都是如此。开发人员的 gpg 密钥被盗也会让黑客将软件包上传到档案库,但由于档案库会向每个软件包的上传者发送电子邮件,因此应该很快就会注意到这一点。
答案2
Ubuntu 存储库中的所有软件包在上传之前都经过 MOTU(宇宙主宰者)的检查和审核。MOTU 是让 Ubuntu 的 Universe 和 Multiverse 组件保持良好状态的勇敢灵魂。他们是社区成员,花时间添加、维护和支持 Universe 中尽可能多的软件。因此,这些软件包不可能侵入您的计算机并窃取您的数据。但是,这些软件包可能存在安全漏洞,即软件中的缺陷。Ubuntu 中也有一些包含安全性的软件(例如键盘记录器),但这些软件包不会窃取您的数据(除非有人故意将其安装在您的计算机上)。
希望这能有所帮助。请参阅 Ubuntu wiki 页面摩图了解更多信息。
答案3
坚持使用 Main 和 Universe 存储库非常安全,如果 PPA 特别受欢迎(大多数时候),或者您知道它们是安全的(例如 Google Chrome PPA,我怀疑 Google 会将任何类型的恶意软件放入其中),那么 PPA 也是非常安全的。如果您使用 Main、Universe 和您的 Google Chrome PPA,那么您会很安全。
如果 Ubuntu 的用户数量增加,那么恶意软件的数量可能会增加。不过我认为恶意软件的数量还不足以造成真正的问题。