V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
NathanCyberC
V2EX  ›  Linux

Linux 系统的微信 WeChat flatpak 包是否有安全隐患?

  •  
  •   NathanCyberC ·
    nathanccxv · 168 天前 · 2330 次点击
    这是一个创建于 168 天前的主题,其中的信息可能已经有所发展或是发生改变。
    因为各种原因不得不偶尔使用微信,以前只能使用手机版本。最近发现了

    wechat-universal-flatpak: https://github.com/web1n/wechat-universal-flatpak

    使用后非常满意,安装简单,暂时还没出现任何 bug 。

    看了一下 flatpak 技术的介绍,它使用了 container/sandboxing 技术,但是因为没有对它深入了解,想请问一下使用 wechat-universal-flatpak 是否有安全、隐私方面的问题,比如电脑中的文件、进程、键盘、系统信息是否会被 wechat 程序访问到。
    12 条回复    2024-07-10 13:27:15 +08:00
    vcn8yjOogEL
        1
    vcn8yjOogEL  
       168 天前
    你可以使用 Flatseal 手动管理权限, 部分权限就算打开了桌面也会在使用时弹窗二次确认(旧版本可能不行)
    Xorg 下任何程序都可以可以读取键盘, Wayland 不行
    vcn8yjOogEL
        2
    vcn8yjOogEL  
       168 天前
    注意未沙箱 App 可以通过其他途径读取键盘数据, 只靠 Wayland 无法阻止
    ltkun
        3
    ltkun  
       168 天前 via Android
    本来微信上就不应该放保密信息
    ysc3839
        4
    ysc3839  
       168 天前 via Android   ❤️ 2
    GNU/Linux 桌面环境下不需要授权就能录音录像录屏吧?
    OBS 就有 Flatpak 版本,你装一个试试看是否要求授权就知道了。
    DonaldErvinKnuth
        5
    DonaldErvinKnuth  
       168 天前
    用 deepin ,官方帮你做好了,省的到处找。我也是因为必须要用微信什么的,试了一大圈,用了 deepin ,比较省心,懒得捣鼓了。
    cnt2ex
        6
    cnt2ex  
       168 天前   ❤️ 3
    如果不太信任这个软件,还是不要太依赖于 flatpak 目前的沙箱机制比较好。虽然 flatpak 有沙箱机制,但实际上很多软件的权限申请几乎都可以随意绕过沙箱。包括但不限于:
    1. 拥有 home 的读写权限,直接在~/.bashrc 加料就能逃出沙箱
    2. 拥有 x11 socket 的权限,可以通过向终端程序写入命令来逃出沙箱
    3. 拥有/dev/ttyX 的权限,可以通过向/dev/ttyX 写入命令来逃出沙箱

    详情看: https://hanako.codeberg.page/

    除此之外,像 talk-name=org.freedesktop.Flatpak 的权限可以随意逃出沙箱等等。

    微信的权限申请 https://github.com/flathub/com.tencent.WeChat/blob/master/com.tencent.WeChat.yaml#L11 是包含 x11 的,如果害怕微信用各种恶心手段读取个人隐私的话,还是放虚拟机里吧。
    Iamsonny
        7
    Iamsonny  
       168 天前
    看到打包的地址,直接下载里面的 deb 安装包也是一样的。
    https://archive2.kylinos.cn/deb/kylin/production/PART-V10-SP1/custom/partner/V10-SP1/pool/all/wechat-beta_1.0.0.241_amd64.deb
    一般也不用担心会隐藏啥的吧,和 windows pc 版也差不多。
    Iamsonny
        8
    Iamsonny  
       168 天前
    提取的信创版安装后,是挺坑。覆盖了几个文件 lsb_release.
    提取了一些硬件信息(硬盘,mac),生成唯一 id 啥的~
    kero991
        9
    kero991  
       167 天前
    @Iamsonny 这是麒麟系统软件包的通病,爱瞎改系统文件。uos 的没这毛病
    kero991
        10
    kero991  
       167 天前   ❤️ 1
    @Iamsonny 问题是信创官方版是限制了 UOS 和麒麟系统才能登录。如果你不用第三方打好的包,就要自己对付这个限制
    NathanCyberC
        11
    NathanCyberC  
    OP
       161 天前
    非常感谢各位提供的信息,也阅读了一些资料,目前来说 Flatpak 应该还不能称为一个足够安全的沙箱环境,使用不信任的软件还是要注意。
    shylockhg
        12
    shylockhg  
       134 天前
    @ltkun up 的意思应该是怕微信偷他主机的信息
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2464 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 15:56 · PVG 23:56 · LAX 07:56 · JFK 10:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.