Członkowie społeczności Kernal zauważyli niezwykle beztroskie podejście do bezpieczeństwa w dystrybucji Linuxfx, która oferuje kompilację Ubuntu ze środowiskiem użytkownika KDE, stylizowanym na interfejs Windows 11. Według danych ze strony projektu, z dystrybucji tej korzystają w tym tygodniu zarejestrowało się ponad milion użytkowników i około 15 tysięcy pobrań. Zestaw dystrybucyjny umożliwia aktywację dodatkowych płatnych funkcji, która odbywa się poprzez wprowadzenie klucza licencyjnego w specjalnej aplikacji graficznej.
Badanie aplikacji do aktywacji licencji (/usr/bin/windowsfx-register) wykazało, że zawiera ona wbudowany login i hasło umożliwiające dostęp do zewnętrznego systemu DBMS MySQL, do którego dodawane są dane o nowym użytkowniku. W tym przypadku użyte dane uwierzytelniające umożliwiają uzyskanie pełnego dostępu do bazy danych, w tym do tabeli „machines”, która wyświetla informacje o wszystkich instalacjach dystrybucji, w tym adresy IP użytkowników. Dostępna jest również zawartość tabeli „fxkeys” z kluczami licencyjnymi i adresami e-mail wszystkich zarejestrowanych użytkowników komercyjnych. Warto zauważyć, że w przeciwieństwie do stwierdzeń o milionie użytkowników, w bazie znajduje się zaledwie 20 tysięcy rekordów. Aplikacja napisana jest w języku Visual Basic i uruchamiana przy użyciu interpretera Gambas.
Na szczególną uwagę zasługuje reakcja twórców dystrybucji. Po opublikowaniu informacji o problemach z bezpieczeństwem wypuścili aktualizację, w której nie naprawili samego problemu, a jedynie zmienili nazwę bazy danych, login i hasło, a także zmienili logikę uzyskiwania danych uwierzytelniających i próbowali walczyć ze śledzeniem programów. Zamiast poświadczeń wbudowanych w samą aplikację, twórcy Linuxfx dodali parametry ładowania umożliwiające połączenie się z bazą danych z serwera zewnętrznego za pomocą narzędzia curl. Dla ochrony pouruchomieniowej, wyszukiwania i usuwania wszystkich uruchomionych w systemie procesów „sudo”, „stapbp” i „*-bpfcc”, najwyraźniej w przekonaniu, że w ten sposób mogą zakłócać działanie programów śledzących .
Źródło: opennet.ru