FERRAMENTAS LINUX: Flatpak: Como se proteger contra falhas de segurança no sandbox (guia definitivo)

Em março de 2026, foram divulgadas correções importantes para o Flatpak. Mas o que importa agora é saber se seu sistema continua seguro – e como agir se você ainda não aplicou as atualizações.

Se você usa Flatpak para instalar aplicações em containers no Linux (como Spotify, Discord, GIMP ou qualquer app isolado), precisa entender um risco sério: falhas no sistema de sandbox podem permitir que um aplicativo malicioso acesse todos os seus arquivos pessoais, delete dados ou execute código no seu sistema hospedeiro.

Nos últimos meses, foram descobertas vulnerabilidades como CVE-2026-34078 (escape completo do sandbox), CVE-2026-34079 (deleção arbitrária de arquivos) e GHSA-2fxp-43j9-pwvc (leitura de arquivos restritos).

A boa notícia é que o Flatpak 1.16.4 (e versões superiores) corrige esses problemas. Este guia mostra como verificar, corrigir e se proteger – independentemente de quando você estiver lendo.

Como verificar se você está vulnerável

Execute os comandos abaixo para saber qual versão do Flatpak está instalada:

Ubuntu/Debian (e derivados)

flatpak --version
# Se for menor que 1.16.4, você está vulnerável

Rocky Linux / AlmaLinux / RHEL

flatpak --version
# Repositórios EPEL geralmente têm a versão mais recente

SUSE Linux Enterprise / openSUSE

flatpak --version
# Verifique se está em 1.16.4 ou superior

Verificação extra – veja se o Flatpak Portal está ativo (necessário para explorar a CVE-2026-34078):

systemctl status --user xdg-desktop-portal
systemctl status --user xdg-desktop-portal-gtk  # ou -kde, -lxqt, etc.

Obs: Se o portal estiver rodando e sua versão do Flatpak for anterior à 1.16.4, considere o sistema como comprometível por qualquer aplicativo Flatpak não confiável.

Script de automação para aplicar a correção

Salve o script abaixo como fix-flatpak.sh e execute como root ou com sudo. Ele funciona em Ubuntu, Rocky e SUSE.

#!/bin/bash
# fix-flatpak.sh - Atualiza Flatpak e reinicia serviços relacionados
# Compatível: Ubuntu/Debian, Rocky/Alma/RHEL, openSUSE/SLES

set -e

echo "[*] Verificando versão atual do Flatpak..."
CURRENT_VERSION=$(flatpak --version | grep -oP '\d+\.\d+\.\d+' | head -1)
echo "    Versão: $CURRENT_VERSION"

if [[ "$CURRENT_VERSION" == "1.16.4" ]] || [[ "$CURRENT_VERSION" > "1.16.4" ]]; then
    echo "[OK] Versão já é segura. Nada a fazer."
    exit 0
fi

echo "[!] Versão vulnerável. Aplicando correção..."

# Detecta distribuição
if command -v apt &> /dev/null; then
    apt update && apt install --only-upgrade flatpak -y
elif command -v dnf &> /dev/null; then
    dnf update flatpak -y
elif command -v zypper &> /dev/null; then
    zypper refresh && zypper update flatpak -y
else
    echo "[ERRO] Distribuição não suportada automaticamente."
    exit 1
fi

# Reinicia o portal para evitar serviços antigos em memória
systemctl --user restart xdg-desktop-portal

echo "[OK] Flatpak atualizado. Reinicie seus aplicativos Flatpak para garantir."

Como executar:

chmod +x fix-flatpak.sh
sudo ./fix-flatpak.sh

Mitigação alternativa (se você NÃO pode atualizar agora)

Impossível atualizar o Flatpak? Use uma dessas medidas temporárias:

1. Desabilitar o Flatpak Portal (mais drástico)

systemctl --user mask --now xdg-desktop-portal

⚠️ Efeito colateral: apps Flatpak perdem acesso a funcionalidades como abrir arquivos fora do sandbox, print screen, notificações. Mas bloqueia a rota de escape.

2. Bloquear tráfego suspeito com iptables (controle fino)

Isso impede que um app Flatpak já comprometido se comunique com a internet para exfiltrar dados:

# Bloqueia saída de containers Flatpak (faixa comum de IPs virtuais)
sudo iptables -A OUTPUT -m owner --uid-owner $(id -u) -d 10.0.0.0/8 -j DROP
# Para liberar novamente: sudo iptables -D OUTPUT ...

Nota: isso não impede o exploit local, mas reduz danos pós-escape.

3. AppArmor/SELinux restritivo

No Ubuntu (AppArmor):

sudo aa-enforce /etc/apparmor.d/usr.lib.flatpak.flatpak-session-helper

No Rocky (SELinux):

sudo setsebool -P flatpak_use_unconfined 0

Lab prático: Monte o seu ambiente para testar a vulnerabilidade

Opção 1: Você vai criar uma VM ou container seguro e isolado para reproduzir o comportamento do CVE-2026-34078 sem risco ao seu sistema principal.

# Cria um container Ubuntu 22.04 vulnerável (Flatpak antigo)
docker run -it --name flatpak-lab ubuntu:22.04 bash

# Dentro do container:
apt update && apt install -y flatpak
flatpak --version  # será 1.12.x (vulnerável)
flatpak remote-add --if-not-exists flathub https://flathub.org/repo/flathub.flatpakrepo
flatpak install flathub org.gnome.Calculator -y

Opção 2: VM com Vagrant (mais realista)

vagrant init rocky9
vagrant up
vagrant ssh
sudo dnf install flatpak -y   # versão antiga no repositório padrão

Testando a correção:

1- Dentro do laboratório, tente executar um app Flatpak malicioso (criado por você ou PoC pública).

2- Observe que ele consegue acessar /etc/shadow ou criar arquivos fora do sandbox.

3- Atualize para Flatpak 1.16.4 usando o script acima.

4- Repita o teste – agora o escape deve falhar.

🔐 Atenção: Faça isso apenas em ambiente isolado. Nunca em produção.

Conclusão: sua segurança depende de ação agora

Vulnerabilidades em sandboxes são críticas porque quebram a premissa de isolamento que o Flatpak promete. A correção já existe (versão 1.16.4+), mas muitos sistemas continuam vulneráveis por meses – seja por falta de atualização ou por repositórios desatualizados.