Členovia komunity Kernal identifikovali nezvyčajne nedbalý postoj k bezpečnosti v distribúcii Linuxfx, ktorá ponúka zostavenie Ubuntu s používateľským prostredím KDE, štylizované do rozhrania Windows 11. Podľa údajov z webovej stránky projektu distribúciu používa tzv. viac ako milión používateľov a tento týždeň bolo zaznamenaných približne 15 tisíc stiahnutí. Distribúcia ponúka aktiváciu ďalších platených funkcií, ktorá sa vykonáva zadaním licenčného kľúča v špeciálnej grafickej aplikácii.
Štúdia aplikácie na aktiváciu licencie (/usr/bin/windowsfx-register) ukázala, že obsahuje vstavané prihlasovacie meno a heslo pre prístup k externému MySQL DBMS, do ktorého sa pridávajú údaje o novom používateľovi. V tomto prípade vám použité prihlasovacie údaje umožňujú získať plný prístup k databáze vrátane tabuľky „stroje“, ktorá zobrazuje informácie o všetkých inštaláciách distribúcie vrátane IP adries používateľov. K dispozícii je aj obsah tabuľky "fxkeys" s licenčnými kľúčmi a emailovými adresami všetkých registrovaných komerčných užívateľov. Je pozoruhodné, že na rozdiel od tvrdení o milióne používateľov je v databáze iba 20 tisíc záznamov. Aplikácia je napísaná vo Visual Basic a beží pomocou interpreta Gambas.
Osobitnú pozornosť si zaslúži reakcia vývojárov distribúcie. Po zverejnení informácií o bezpečnostných problémoch vydali aktualizáciu, v ktorej neopravili samotný problém, len zmenili názov databázy, login a heslo a zmenili aj logiku získavania poverení a pokúsili sa bojovať proti sledovaniu programu. Namiesto prihlasovacích údajov zabudovaných do samotnej aplikácie vývojári Linuxfx pridali parametre načítania na pripojenie k databáze z externého servera pomocou pomôcky curl. Na ochranu po spustení bolo implementované vyhľadávanie a odstránenie všetkých spustených procesov „sudo“, „stapbp“ a „*-bpfcc“ v systéme, zjavne vo viere, že týmto spôsobom môžu zasahovať do činnosti sledovacích programov. .
Zdroj: opennet.ru