La página web “Flatkills.org” apunta a una serie de reclamaciones de seguridad asociados habitualmente con el nuevo paquete de aplicaciones y el formato de distribución de Flatpak.
Tres áreas clave están marcadas en el sito, las cuales sostienen que no son seguras para los usuarios:
- Muchas aplicaciones Flatpak tienen permiso de escritura para el sistema de archivos
- La mayoría de las aplicaciones de Flatpak no se ejecutan en sandbox
- Actualizaciones de seguridad lentas/no críticas para aplicaciones y tiempos de ejecución
El autor del sitio proporciona ejemplos de las supuestas deficiencias, y concluye que:
“La forma en que empaquetamos y distribuimos las aplicaciones de escritorio en Linux seguramente debe replantearse, por desgracia, Flatpak está introduciendo más problemas de los que está resolviendo”.
Flatkills.org les está pidiendo a los usuarios que piensan que Flatpak es una forma segura de hacer que las aplicaciones en Linux vuelvan a pensar.
¿Pero deberían hacerlo?¿Deberías estar preocupado?
El sitio web es contundente, está claro que el autor detrás de él se preocupa por el escritorio de Linux, las expectativas del usuario y la seguridad de la aplicación.
Después de todo: nadie se esfuerza por lanzar un sitio web completo solo por nada.
Dicho esto, las preocupaciones enumeradas en Flatkills.org no son, en mi opinión, problemas con Flatpak en sí, sino con la distribución de aplicaciones de Linux en general.
Por un lado, todas las características de seguridad que Flatpak promociona en su documentación y que están disponibles en los materiales de marketing están disponibles. El “problema” no es que estos controles no existan (sí existen) sino que la mayoría de los desarrolladores de aplicaciones que distribuyen aplicaciones Flatpak eligen no hacer uso de ellos.
Las aplicaciones como GIMP, Vscode y Lollypop se envían con amplios conjuntos de permisos (que los usuarios conocen al instalar con la CLI de Flatpak pero no en una instalación de GUI) de forma predeterminada.
Muchos empaquetadores solicitan de forma ociosa acceso de lectura/escritura a la carpeta de inicio en lugar de utilizar otros mecanismos disponibles.
Una vez más, esta situación no es exclusiva de Flatpak o de la tienda de aplicaciones Flathub. Muchas aplicaciones populares de Snap tampoco hacen uso del “confinamiento estricto”.
Pero la configuración relacionada con el sandboxing y los permisos (o la falta de ellos) la decide el empaquetador de aplicaciones, no el creador del formato.
¿Quizás Flatpak podría abrir un cuadro de diálogo de permiso GUI para solicitar el permiso de escritura del sistema de archivos en la primera ejecución? ¿O listar (de nuevo a través de una GUI) qué permisos requiere una aplicación antes de que los usuarios la instalen (como solía hacerlo con Android)?
Pero estamos hablando de una tecnología que recientemente llegó a la versión 1.0, que no alcanzará la perfección de la noche a la mañana.
Pero como vale la pena, los desarrolladores de Flatpak están trabajando en un modelo de permisos de aplicaciones mejorado con “Portales“. Estos permiten el control granular de permisos:
“Los portales son API de bus de sesión de alto nivel que proporcionan acceso selectivo a los recursos para aplicaciones de espacio aislado. “La expectativa implícita de los portales es que el usuario siempre estará involucrado en otorgar o rechazar una solicitud del portal, por lo que la mayoría de las API del portal conducirán a la interacción del usuario en forma de diálogos”.
Entre los portales planeados se encuentra un “selector de archivos”. Esto proporcionará a las aplicaciones de espacio aislado acceso indirecto a los archivos, pero el usuario podrá controlar qué archivos pueden o no abrirse.
Las aplicaciones obtienen los permisos que necesitan para ejecutarse de manera eficiente, pero sin el inconveniente de tener permiso para todo.
Soy un gran fan del modelo de permisos de las aplicaciones Snap, que te permite controlar y revocar los permisos de la aplicación en cualquier momento, tanto para los snapshots “estrictos” (que no pueden escribir en root) como los snaps “clásicos” que sí pueden, desde el software de Ubuntu. Flatpak también tiene controles similares, aunque desde CLI.
Pero si la idea de que Flatpaks disfrute de acceso sin límites a tu carpeta de inicio puede parecer aterradora, pero si instalas aplicaciones de PPA, un OBS u otros repositorios de terceros, estará expuesto a los mismos riesgos, pero peor porque comprometes las zonas de superusuario.
Flatpak sigue siendo una tecnología (relativamente) nueva. Al igual que cualquier buena tecnología de código abierto, Flatpak está evolucionando, al igual que el ecosistema y aquellos dentro de él.
También: Flatpak ≠ Flathub; Las distribuciones podrían (en teoría) alojar su tienda Flatpak con requisitos de actualización o modelo de permiso más estrictos.
En el lado positivo, las soluciones surgirán a medida que se detecten los problemas. Y a medida que Flatpak se haga más popular, la gente tendrá más opiniones al respecto, no todas alentadoras. Pero el discurso abierto es una parte válida del proceso de código abierto.
El sitio web de Flatkills es contundente (y quizás un poco dramático) pero toca puntos de discusión que son, en el fondo, válidos, y que, de varias maneras, necesitan trabajo o un mayor refinamiento.
Pero a diferencia del sitio web, no creo que deba haber un “replanteamiento” de Flatpak, solo una mejor comprensión de las características y capacidades que ofrece, y en ocasiones no es compatible.
