É seguro executar aplicativos que não precisam de instalação?

Eu tenho o Ubuntu 14.04 LTS

Eu baixei o Telegram daqui . O arquivo foi compactado com a extensão tar.xz.

Descompactei este arquivo e o executei Telegram(sem extensão) usando o usuário comum (não o administrador). O aplicativo foi iniciado e funcionou bem.

Mas por que o Ubuntu não me diz: "Não execute este aplicativo, porque não é seguro"?

É realmente seguro executar esses aplicativos, que não precisam de instalação, que são executados facilmente quando clicados duas vezes?

E como são chamados aplicativos como esse? Que nome eles têm? "Portátil"?

O arquivo é um executável binário. Ele já foi compilado a partir do código-fonte em um formato que sua CPU pode executar e você só precisa solicitar que seja executado para que seja executado.

O software que você baixa quando executa um gerenciador de pacotes como o APT em geral também inclui binários pré-compilados, portanto não há nada de peculiar nesse tipo de arquivo. O empacotamento dos arquivos faz coisas úteis, como dizer ao gerenciador de pacotes para onde no sistema de arquivos os binários precisam ser copiados e fornece scripts que garantem que o programa encontre quaisquer bibliotecas compartilhadas e outros programas de que depende e o ambiente que ele exige. configure se necessário.

O motivo pelo qual você pode considerar este programa inseguro é que ele vem de uma fonte desconhecida, enquanto os pacotes dos repositórios do Ubuntu são de uma fonte conhecida e protegidos por um processo de verificação de assinatura que garante que eles não foram violados no caminho para o sistema.

Basicamente, o download e a execução de arquivos executáveis ​​de fontes desconhecidas são inseguros, a menos que você confie no provedor e possa verificar se o download chegou intacto. Para esse fim, os distribuidores podem fornecer algum tipo de soma de verificação que você pode usar para verificar se o arquivo que eles carregaram tem o mesmo conteúdo que o que você baixou.

Uma coisa encorajadora do Telegram em particular é que ele é de código aberto:

Este software está disponível sob a licença GPL v3.
O código fonte está disponível no GitHub .

Isso significa que qualquer pessoa pode ler o código fonte do programa para garantir que ele não fará nada indesejável ao seu sistema. Na prática, ler o código fonte para garantir que o programa seja seguro não é algo que a maioria dos usuários finais deseja dedicar ou aprender a fazer. Ainda assim, tenho alguma fé na comunidade envolvida para encontrar vulnerabilidades e bugs de segurança em software de código aberto.

Quanto ao motivo pelo qual o Ubuntu não se queixa de que o programa é inseguro, bem, incomodar o usuário sobre suas decisões questionáveis ​​não é a tradição do Linux. Um sistema Linux normalmente é projetado para fazer o que você pede e nada mais. O usuário é considerado responsável por ter conhecimento de problemas de segurança e outras possíveis armadilhas e raramente será avisado de que está prestes a comprometer ou danificar seu sistema.

Eu uso um PPA para Telegram. Veja esta resposta para todas as maneiras de instalar o Telegram . Os PPAs usam o mecanismo de verificação de assinatura do APT, mas eles ainda apresentam alguns riscos porque você confia no mantenedor. Os PPAs oferecem alguma conveniência, atualizando quando você executa atualizações (se o mantenedor atualiza o PPA), informando o gerente de pacotes que você possui o software e assim por diante.

Software instalado localmente

O software, baixado (ou copiado localmente de qualquer forma) e executado localmente (do seu usuário) pode potencialmente fazer qualquer coisa para a qual você não precise de permissões de administrador. Isso inclui a remoção de seus arquivos (pessoais), que a maioria de nós consideraria prejudiciais.

Se você estiver conectado a alguma coisa, e o software for executado como seu usuário, idem, mas também pense em scripts ou comandos que você pode ter adicionado ao arquivo sudoers.

Caso você tenha uma conta de administrador e o software solicite sua senha e você a forneça acidentalmente, tudo poderá acontecer.

Atenção?

Sem fornecer sua senha, o dano potencial será limitado à sua própria conta. Você não gostaria que o Ubuntu o avisasse por todos os comandos executados, deliberadamente ou não.

É por isso que você simplesmente não deve executar código de fontes que você não sabe se pode confiar nelas, a menos que entenda completamente o código.