Članovi zajednice Kernal identificirali su neobično nemaran stav prema sigurnosti u distribuciji Linuxfx, koja nudi međugradnju Ubuntua s KDE korisničkim okruženjem, stiliziranim kao sučelje Windows 11. Prema podacima s web stranice projekta, distribuciju koriste više od milijun korisnika, a ovog je tjedna zabilježeno oko 15 tisuća preuzimanja. Distribucijski komplet nudi aktivaciju dodatnih značajki koje se plaćaju, što se vrši unosom licencnog ključa u posebnu grafičku aplikaciju.
Proučavanje aplikacije za aktivaciju licence (/usr/bin/windowsfx-register) pokazalo je da ona sadrži ugrađenu prijavu i lozinku za pristup vanjskom MySQL DBMS-u u koji se dodaju podaci o novom korisniku. U ovom slučaju, korištene vjerodajnice omogućuju vam potpuni pristup bazi podataka, uključujući tablicu "strojevi", koja prikazuje informacije o svim instalacijama distribucije, uključujući korisničke IP adrese. Dostupan je i sadržaj tablice "fxkeys" s licencnim ključevima i e-mail adresama svih registriranih komercijalnih korisnika. Zanimljivo je da, za razliku od izjava o milijun korisnika, u bazi postoji samo 20 tisuća zapisa. Aplikacija je napisana u Visual Basicu i radi pomoću Gambas interpretera.
Reakcija programera distribucije zaslužuje posebnu pozornost. Nakon objave informacija o sigurnosnim problemima, objavili su ažuriranje u kojem nisu riješili sam problem, već su samo promijenili ime baze podataka, prijavu i lozinku, a promijenili su i logiku za dobivanje vjerodajnica te pokušali suzbiti praćenje programa. Umjesto vjerodajnica ugrađenih u samu aplikaciju, programeri Linuxfx-a dodali su parametre učitavanja za povezivanje s bazom podataka s vanjskog poslužitelja pomoću uslužnog programa curl. Za zaštitu nakon pokretanja implementirana je pretraga i uklanjanje svih pokrenutih procesa “sudo”, “stapbp” i “*-bpfcc” u sustavu, očito u uvjerenju da na taj način mogu ometati rad programa za praćenje .
Izvor: opennet.ru