I membri della comunità Kernal hanno identificato un atteggiamento insolitamente negligente nei confronti della sicurezza nella distribuzione Linuxfx, che offre una build di Ubuntu con l'ambiente utente KDE, stilizzata come l'interfaccia di Windows 11. Secondo i dati del sito web del progetto, la distribuzione è utilizzata da questa settimana sono stati registrati più di un milione di utenti e circa 15mila download. Il kit di distribuzione offre l'attivazione di funzionalità aggiuntive a pagamento, che avviene inserendo una chiave di licenza in una speciale applicazione grafica.
Uno studio sull'applicazione di attivazione della licenza (/usr/bin/windowsfx-register) ha dimostrato che include un login e una password integrati per accedere a un DBMS MySQL esterno, in cui vengono aggiunti i dati sul nuovo utente. In questo caso, le credenziali utilizzate consentono di ottenere pieno accesso al database, inclusa la tabella "macchine", che visualizza le informazioni su tutte le installazioni della distribuzione, compresi gli indirizzi IP degli utenti. Sono inoltre disponibili i contenuti della tabella "fxkeys" con le chiavi di licenza e gli indirizzi e-mail di tutti gli utenti commerciali registrati. È interessante notare che, a differenza delle dichiarazioni su un milione di utenti, nel database ci sono solo 20mila record. L'applicazione è scritta in Visual Basic e viene eseguita utilizzando l'interprete Gambas.
La reazione degli sviluppatori della distribuzione merita un'attenzione speciale. Dopo aver pubblicato informazioni sui problemi di sicurezza, hanno rilasciato un aggiornamento in cui non hanno risolto il problema stesso, ma hanno solo cambiato il nome del database, login e password, hanno anche cambiato la logica per ottenere le credenziali e hanno cercato di combattere il tracciamento del programma. Invece delle credenziali integrate nell'applicazione stessa, gli sviluppatori Linuxfx hanno aggiunto parametri di caricamento per la connessione al database da un server esterno utilizzando l'utilità curl. Per la protezione post-avvio, è stata implementata la ricerca e la rimozione di tutti i processi "sudo", "stapbp" e "*-bpfcc" in esecuzione nel sistema, apparentemente nella convinzione che in questo modo possano interferire con il funzionamento dei programmi di tracciamento .
Fonte: opennet.ru