Člani skupnosti Kernal so ugotovili nenavadno malomaren odnos do varnosti v distribuciji Linuxfx, ki ponuja gradnjo Ubuntuja z uporabniškim okoljem KDE, stilizirano kot vmesnik Windows 11. Po podatkih s spletne strani projekta distribucijo uporabljajo več kot milijon uporabnikov, ta teden pa so zabeležili približno 15 tisoč prenosov. Distribucijski komplet ponuja aktivacijo dodatnih plačljivih funkcij, ki se izvede z vnosom licenčnega ključa v posebno grafično aplikacijo.
Študija aplikacije za aktivacijo licence (/usr/bin/windowsfx-register) je pokazala, da vsebuje vgrajeno prijavo in geslo za dostop do zunanjega DBMS MySQL, v katerega se dodajo podatki o novem uporabniku. V tem primeru vam uporabljene poverilnice omogočajo popoln dostop do baze podatkov, vključno s tabelo »stroji«, ki prikazuje informacije o vseh namestitvah distribucije, vključno z naslovi IP uporabnikov. Na voljo je tudi vsebina tabele "fxkeys" z licenčnimi ključi in elektronskimi naslovi vseh registriranih komercialnih uporabnikov. Omeniti velja, da je v bazi podatkov v nasprotju z izjavami o milijonu uporabnikov le 20 tisoč zapisov. Aplikacija je napisana v Visual Basicu in teče s tolmačem Gambas.
Posebno pozornost si zasluži odziv razvijalcev distribucije. Po objavi informacij o varnostnih težavah so izdali posodobitev, v kateri same težave niso odpravili, ampak le spremenili ime baze podatkov, prijavo in geslo, spremenili pa so tudi logiko pridobivanja poverilnic in se poskušali zoperstaviti sledenju programov. Namesto poverilnic, vgrajenih v samo aplikacijo, so razvijalci Linuxfx dodali parametre nalaganja za povezavo z bazo podatkov iz zunanjega strežnika s pomočjo pripomočka curl. Za zaščito po zagonu je bilo implementirano iskanje in odstranjevanje vseh tekočih procesov "sudo", "stapbp" in "*-bpfcc" v sistemu, očitno v prepričanju, da lahko na ta način motijo delovanje programov za sledenje. .
Vir: opennet.ru