Členové komunity Kernal identifikovali nezvykle nedbalý postoj k bezpečnosti v distribuci Linuxfx, která nabízí sestavení Ubuntu s uživatelským prostředím KDE stylizované do rozhraní Windows 11. Podle údajů z webu projektu distribuci používá tzv. více než milion uživatelů a tento týden bylo zaznamenáno asi 15 tisíc stažení. Distribuční sada nabízí aktivaci dalších placených funkcí, která se provádí zadáním licenčního klíče ve speciální grafické aplikaci.
Studie aplikace pro aktivaci licence (/usr/bin/windowsfx-register) ukázala, že obsahuje vestavěné přihlašovací jméno a heslo pro přístup k externímu MySQL DBMS, do kterého se přidávají údaje o novém uživateli. V tomto případě vám použité přihlašovací údaje umožňují získat plný přístup k databázi, včetně tabulky „stroje“, která zobrazuje informace o všech instalacích distribuce, včetně IP adres uživatelů. K dispozici je také obsah tabulky "fxkeys" s licenčními klíči a e-mailovými adresami všech registrovaných komerčních uživatelů. Pozoruhodné je, že na rozdíl od tvrzení o milionu uživatelů je v databázi pouze 20 tisíc záznamů. Aplikace je napsána ve Visual Basic a běží pomocí interpretu Gambas.
Zvláštní pozornost si zaslouží reakce vývojářů distribuce. Po zveřejnění informací o bezpečnostních problémech vydali aktualizaci, ve které neopravili samotný problém, pouze změnili název databáze, přihlašovací jméno a heslo a také změnili logiku získávání přihlašovacích údajů a pokusili se bojovat proti sledování programů. Místo přihlašovacích údajů zabudovaných do samotné aplikace přidali vývojáři Linuxfx parametry načítání pro připojení k databázi z externího serveru pomocí nástroje curl. Pro ochranu po spuštění bylo implementováno vyhledání a odstranění všech běžících procesů „sudo“, „stapbp“ a „*-bpfcc“ v systému, zjevně ve víře, že tímto způsobem mohou zasahovat do činnosti sledovacích programů. .
Zdroj: opennet.ru