我在新闻中看到,很多恶意软件正在感染 Android 操作系统。这些恶意软件位于 Google 的应用商店中,人们在不知情的情况下下载并安装它们。
据我所知,Ubuntu 的主存储库对我来说是安全的(我不会因此感染恶意软件),因为 Canonical 工程师会审查软件。但其他存储库呢,尤其是 Universe 存储库?Universe 存储库是否接受任何形式的审查以防范恶意软件?是否建议避免使用 Universe 存储库,因为担心在不知情的情况下从中下载恶意软件?
我读到过 PPA 特别危险,因为它们没有经过审核。但我认为使用 Google Chrome PPA 是绝对安全的。
因此,如果我只使用 Main 和 Universe 存储库以及 Google Chrome PPA,我是否可以避免在不知情的情况下下载恶意软件?
如果 Ubuntu 真的像 Mark Shuttleworth 预测的那样获得了数亿用户,那么 Ubuntu PPA 会不会成为 Ubuntu 的恶意软件问题,就像今天的谷歌应用商店之于 Android 一样?
答案1
所有官方 Ubuntu 存储库(包括您可以在archive.ubuntu.com或其镜像上找到的任何内容,以及其他一些存储库)都是经过精心策划的。这意味着、main、restricted、universe以及multiverse。其中的所有软件包要么来自 Debian(因此由 Debian 开发人员上传),要么由 Ubuntu 开发人员上传;在这两种情况下,上传的软件包都通过上传者的 gpg 签名进行身份验证。-updates-security
因此,您可以相信官方档案库中的每个软件包都是由 Debian 或 Ubuntu 开发人员上传的。此外,您下载的软件包可以通过存储库中文件的 gpg 签名进行验证,因此您可以相信您下载的每个软件包都是在 Ubuntu 构建场上从 Ubuntu 或 Debian 开发人员上传的源代码构建的¹。
这使得彻头彻尾的恶意软件不太可能发生——需要有值得信任的人上传它,并且上传很容易被追踪到他们。
这就引出了更多隐蔽的邪恶行为的问题。上游开发人员可以将后门放入原本有用的软件中,这些后门可能会进入档案库 - 或universe,multiverse具体取决于许可证。人们确实对 Debian 档案库进行了安全审核,因此如果该软件变得流行,后门很可能会被发现。
中的软件包main经过了一些额外的检查,并得到了 Ubuntu 安全团队的更多关注。
PPA 几乎不具备这些。PPA 提供的保证是,您下载的软件包是在 Ubuntu 构建基础架构上构建的,并且是由有权访问列出的上传者的 Launchpad 帐户的 GPG 密钥之一的人上传的。无法保证上传者就是他们所说的那个人 - 任何人都可以制作“Google Chrome PPA”。您需要以其他方式确定对 PPA 的信任。
¹:如果对 Ubuntu 基础设施进行大规模入侵,这种信任链可能会被破坏,但任何系统都是如此。开发人员的 gpg 密钥被盗也会让黑客将软件包上传到档案库,但由于档案库会向每个软件包的上传者发送电子邮件,因此应该很快就会注意到这一点。
答案2
Ubuntu 存储库中的所有软件包在上传之前都经过 MOTU(宇宙主宰者)的检查和审核。MOTU 是让 Ubuntu 的 Universe 和 Multiverse 组件保持良好状态的勇敢灵魂。他们是社区成员,花时间添加、维护和支持 Universe 中尽可能多的软件。因此,这些软件包不可能侵入您的计算机并窃取您的数据。但是,这些软件包可能存在安全漏洞,即软件中的缺陷。Ubuntu 中也有一些包含安全性的软件(例如键盘记录器),但这些软件包不会窃取您的数据(除非有人故意将其安装在您的计算机上)。
希望这能有所帮助。请参阅 Ubuntu wiki 页面摩图了解更多信息。
答案3
坚持使用 Main 和 Universe 存储库非常安全,如果 PPA 特别受欢迎(大多数时候),或者您知道它们是安全的(例如 Google Chrome PPA,我怀疑 Google 会将任何类型的恶意软件放入其中),那么 PPA 也是非常安全的。如果您使用 Main、Universe 和您的 Google Chrome PPA,那么您会很安全。
如果 Ubuntu 的用户数量增加,那么恶意软件的数量可能会增加。不过我认为恶意软件的数量还不足以造成真正的问题。