لقد حدد أعضاء مجتمع Kernal موقفًا مهملًا بشكل غير معتاد فيما يتعلق بالأمن في توزيعة Linuxfx، التي توفر إنشاء Ubuntu مع بيئة مستخدم KDE، والتي تم تصميمها كواجهة Windows 11. وفقًا للبيانات الواردة من موقع المشروع، يتم استخدام التوزيع بواسطة أكثر من مليون مستخدم، وتم تسجيل حوالي 15 ألف عملية تنزيل هذا الأسبوع. توفر مجموعة التوزيع تفعيل ميزات إضافية مدفوعة، ويتم ذلك عن طريق إدخال مفتاح ترخيص في تطبيق رسومي خاص.
أظهرت دراسة لتطبيق تنشيط الترخيص (/usr/bin/windowsfx-register) أنه يتضمن تسجيل دخول وكلمة مرور مدمجين للوصول إلى نظام MySQL DBMS خارجي، حيث يتم إضافة بيانات حول المستخدم الجديد. في هذه الحالة، تسمح لك بيانات الاعتماد المستخدمة بالوصول الكامل إلى قاعدة البيانات، بما في ذلك جدول "الأجهزة"، الذي يعرض معلومات حول جميع عمليات تثبيت التوزيع، بما في ذلك عناوين IP الخاصة بالمستخدم. محتويات جدول "fxkeys" مع مفاتيح الترخيص وعناوين البريد الإلكتروني لجميع المستخدمين التجاريين المسجلين متاحة أيضًا. يشار إلى أنه على عكس التصريحات التي تشير إلى مليون مستخدم، لا يوجد سوى 20 ألف سجل في قاعدة البيانات. التطبيق مكتوب بلغة Visual Basic ويتم تشغيله باستخدام مترجم Gambas.
رد فعل مطوري التوزيع يستحق اهتماما خاصا. بعد نشر معلومات حول المشكلات الأمنية، أصدروا تحديثًا لم يقوموا فيه بإصلاح المشكلة نفسها، ولكنهم قاموا فقط بتغيير اسم قاعدة البيانات وتسجيل الدخول وكلمة المرور، وقاموا أيضًا بتغيير منطق الحصول على بيانات الاعتماد وحاولوا مكافحة تتبع البرنامج. بدلاً من بيانات الاعتماد المضمنة في التطبيق نفسه، أضاف مطورو Linuxfx معلمات تحميل للاتصال بقاعدة البيانات من خادم خارجي باستخدام الأداة المساعدة Curl. من أجل حماية ما بعد الإطلاق، تم تنفيذ البحث والإزالة لجميع عمليات "sudo" و"stapbp" و"*-bpfcc" الجارية في النظام، على ما يبدو اعتقادًا بأنها بهذه الطريقة يمكن أن تتداخل مع تشغيل برامج التتبع .
المصدر: opennet.ru