Natukoy ng mga miyembro ng komunidad ng Kernal ang isang hindi karaniwang walang ingat na saloobin sa seguridad sa pamamahagi ng Linuxfx, na nag-aalok ng build ng Ubuntu na may KDE user environment, na inistilo bilang interface ng Windows 11. Ayon sa data mula sa website ng proyekto, ang pamamahagi ay ginagamit ng higit sa isang milyong user, at humigit-kumulang 15 libong mga pag-download ang naitala ngayong linggo. Ang distribution kit ay nag-aalok ng pag-activate ng mga karagdagang bayad na feature, na ginagawa sa pamamagitan ng pagpasok ng license key sa isang espesyal na graphical na application.
Ang isang pag-aaral ng application ng pag-activate ng lisensya (/usr/bin/windowsfx-register) ay nagpakita na may kasama itong built-in na login at password para sa pag-access sa isang panlabas na MySQL DBMS, kung saan idinaragdag ang data tungkol sa bagong user. Sa kasong ito, ang mga kredensyal na ginamit ay nagbibigay-daan sa iyo upang makakuha ng ganap na access sa database, kabilang ang talahanayan ng "mga makina", na nagpapakita ng impormasyon tungkol sa lahat ng mga pag-install ng pamamahagi, kabilang ang mga IP address ng gumagamit. Available din ang mga nilalaman ng talahanayang "fxkeys" na may mga license key at email address ng lahat ng nakarehistrong komersyal na user. Kapansin-pansin na, sa kaibahan sa mga pahayag tungkol sa isang milyong mga gumagamit, mayroon lamang 20 libong mga talaan sa database. Ang application ay nakasulat sa Visual Basic at tumatakbo gamit ang Gambas interpreter.
Ang reaksyon ng mga developer ng pamamahagi ay nararapat na espesyal na pansin. Matapos mag-publish ng impormasyon tungkol sa mga problema sa seguridad, naglabas sila ng isang update kung saan hindi nila naayos ang problema mismo, ngunit binago lamang ang pangalan ng database, pag-login at password, at binago din ang lohika para sa pagkuha ng mga kredensyal at sinubukang labanan ang pagsubaybay sa programa. Sa halip na mga kredensyal na binuo sa mismong application, ang mga developer ng Linuxfx ay nagdagdag ng mga parameter ng pag-load para sa pagkonekta sa database mula sa isang panlabas na server gamit ang curl utility. Para sa proteksyon pagkatapos ng paglunsad, ang paghahanap at pag-alis ng lahat ng tumatakbong "sudo", "stapbp" at "*-bpfcc" na mga proseso sa system ay ipinatupad, tila sa paniniwala na sa ganitong paraan maaari silang makagambala sa pagpapatakbo ng mga programa sa pagsubaybay .
Pinagmulan: opennet.ru