04.07.2022

В дистрибутиве Linuxfx выявлен вшитый пароль для доступа к базе пользователей

Участники сообщества Kernal выявили необыкновенно беспечное отношение к безопасности в дистрибутиве Linuxfx, предлагающем сборку Ubuntu с пользовательским окружением KDE, стилизованным под интерфейс Windows 11. По данным с сайта проекта дистрибутивом пользуется более миллиона пользователей, а за эту неделю зафиксировано около 15 тысяч загрузок. Дистрибутив предлагает активацию дополнительных платных возможностей, которая производится через введение лицензионного ключа в специальном графическом приложении.

Исследование приложения для активации лицензии (/usr/bin/windowsfx-register) показало, что оно включает в себя вшитые логин и пароль для обращения к внешней СУБД MySQL, в которую добавляются данные о новом пользователе. При этом используемые учётные данные позволяют получить полный доступ к БД, в том числе к таблице «machines» в которой отражены сведения о всех установках дистрибутива, включая IP-адреса пользователей. Доступно также содержимое таблицы «fxkeys» с лицензионными ключами и адресами электронной почты всех зарегистрированных коммерческих пользователей. Примечательно, что в отличие от заявлений о миллионе пользователей, в БД имеется лишь 20 тысяч записей.
Приложение написано на языке Visual Basic и выполняется с использованием интерпретатора Gambas.

Отдельного внимания заслуживает реакция разработчиков дистрибутива. После публикации сведений о проблемах с безопасностью они выпустили обновление, в котором не устранили саму проблему, а лишь поменяли имя БД, логин и пароль, а также изменили логику получения учётных данных и попытались бороться с трассировкой программы. Вместо вшитых в само приложение учётных данных, разработчики Linuxfx добавили загрузку параметров подключения к БД с внешнего сервера, используя утилиту curl. Для защиты после запуска реализован поиск и удаление всех запущенных процессов «sudo», «stapbp» и «*-bpfcc» в системе, видимо, полагая, что таким образом они смогут помешать работе программ для трассировки.

Источник.