Os membros da comunidade Kernal identificaron unha actitude inusualmente despreocupada cara á seguridade na distribución Linuxfx, que ofrece unha versión de Ubuntu cun ambiente de usuario KDE ao estilo de Windows 11. Segundo o sitio web do proxecto, a distribución ten máis dun millón de usuarios e preto de 15 descargas esta semana. O kit de distribución ofrece a activación de funcións de pago adicionais, que se realiza mediante a introdución dunha clave de licenza nunha aplicación gráfica especial.
Un estudo da aplicación de activación da licenza (/usr/bin/windowsfx-register) mostrou que inclúe un inicio de sesión e un contrasinal cableados para acceder a un DBMS MySQL externo, ao que se engaden datos sobre un novo usuario. Ao mesmo tempo, as credenciais utilizadas permítenche ter acceso completo á base de datos, incluída a táboa "máquinas", que reflicte información sobre todas as instalacións do kit de distribución, incluídos os enderezos IP dos usuarios. Tamén están dispoñibles os contidos da táboa "fxkeys" con claves de licenza e enderezos de correo electrónico de todos os usuarios comerciais rexistrados. Cabe destacar que, en contraste coas afirmacións dun millón de usuarios, só hai 20 rexistros na base de datos. A aplicación está escrita en Visual Basic e execútase mediante o intérprete Gambas.
A reacción dos desenvolvedores do kit de distribución merece especial atención. Despois da publicación de información sobre problemas de seguridade, lanzaron unha actualización na que non solucionaron o problema en si, senón que só cambiaron o nome da base de datos, o inicio de sesión e o contrasinal, e tamén cambiaron a lóxica para obter as credenciais e tentaron xestionar o rastrexo do programa. . En lugar das credenciais cosidas na propia aplicación, os desenvolvedores de Linuxfx engadiron a carga de parámetros de conexión de base de datos desde un servidor externo mediante a utilidade curl. Para a protección despois do inicio, implícase unha busca e eliminación de todos os procesos "sudo", "stapbp" e "*-bpfcc" en execución no sistema, ao parecer crendo que deste xeito poden interferir no traballo dos programas de rastrexo.
Fonte: opennet.ru