Linux 系统的微信 WeChat flatpak 包是否有安全隐患?

200 天前
 NathanCyberC
因为各种原因不得不偶尔使用微信,以前只能使用手机版本。最近发现了

wechat-universal-flatpak: https://github.com/web1n/wechat-universal-flatpak

使用后非常满意,安装简单,暂时还没出现任何 bug 。

看了一下 flatpak 技术的介绍,它使用了 container/sandboxing 技术,但是因为没有对它深入了解,想请问一下使用 wechat-universal-flatpak 是否有安全、隐私方面的问题,比如电脑中的文件、进程、键盘、系统信息是否会被 wechat 程序访问到。
2466 次点击
所在节点    Linux
13 条回复
vcn8yjOogEL
200 天前
你可以使用 Flatseal 手动管理权限, 部分权限就算打开了桌面也会在使用时弹窗二次确认(旧版本可能不行)
Xorg 下任何程序都可以可以读取键盘, Wayland 不行
vcn8yjOogEL
200 天前
注意未沙箱 App 可以通过其他途径读取键盘数据, 只靠 Wayland 无法阻止
ltkun
200 天前
本来微信上就不应该放保密信息
ysc3839
200 天前
GNU/Linux 桌面环境下不需要授权就能录音录像录屏吧?
OBS 就有 Flatpak 版本,你装一个试试看是否要求授权就知道了。
DonaldErvinKnuth
200 天前
用 deepin ,官方帮你做好了,省的到处找。我也是因为必须要用微信什么的,试了一大圈,用了 deepin ,比较省心,懒得捣鼓了。
cnt2ex
200 天前
如果不太信任这个软件,还是不要太依赖于 flatpak 目前的沙箱机制比较好。虽然 flatpak 有沙箱机制,但实际上很多软件的权限申请几乎都可以随意绕过沙箱。包括但不限于:
1. 拥有 home 的读写权限,直接在~/.bashrc 加料就能逃出沙箱
2. 拥有 x11 socket 的权限,可以通过向终端程序写入命令来逃出沙箱
3. 拥有/dev/ttyX 的权限,可以通过向/dev/ttyX 写入命令来逃出沙箱

详情看: https://hanako.codeberg.page/

除此之外,像 talk-name=org.freedesktop.Flatpak 的权限可以随意逃出沙箱等等。

微信的权限申请 https://github.com/flathub/com.tencent.WeChat/blob/master/com.tencent.WeChat.yaml#L11 是包含 x11 的,如果害怕微信用各种恶心手段读取个人隐私的话,还是放虚拟机里吧。
Iamsonny
200 天前
看到打包的地址,直接下载里面的 deb 安装包也是一样的。
https://archive2.kylinos.cn/deb/kylin/production/PART-V10-SP1/custom/partner/V10-SP1/pool/all/wechat-beta_1.0.0.241_amd64.deb
一般也不用担心会隐藏啥的吧,和 windows pc 版也差不多。
Iamsonny
200 天前
提取的信创版安装后,是挺坑。覆盖了几个文件 lsb_release.
提取了一些硬件信息(硬盘,mac),生成唯一 id 啥的~
kero991
199 天前
@Iamsonny 这是麒麟系统软件包的通病,爱瞎改系统文件。uos 的没这毛病
kero991
199 天前
@Iamsonny 问题是信创官方版是限制了 UOS 和麒麟系统才能登录。如果你不用第三方打好的包,就要自己对付这个限制
NathanCyberC
193 天前
非常感谢各位提供的信息,也阅读了一些资料,目前来说 Flatpak 应该还不能称为一个足够安全的沙箱环境,使用不信任的软件还是要注意。
shylockhg
166 天前
@ltkun up 的意思应该是怕微信偷他主机的信息
Mashirl
15 天前
真担心安全性那就丢 kvm 虚拟机好了,性能损耗也不高

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1047438

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX