Incubo per la sicurezza di KDE Plasma: la funzione di scripting può eseguire comandi di root, compresi i peggiori meme di Linux

Uno dei vantaggi del software open-source, come molte distribuzioni Linux preferiscono, è che chiunque abbia il know-how e l'interesse può aggiungere qualcosa all'esperienza. Di solito, questa apertura aiuta a rendere il software open-source più sicuro, ma a quanto pare è successo il contrario con il supporto del tema globale di KDE Plasma.

Recentemente è stato scoperto da un utente sul subreddit r/openSUSE che un tema globale di KDE Plasma chiamato Grey Layout era in grado di cancellare in qualche modo tutti i dati dell'utente su tutte le unità montate a cui l'utente collegato aveva il permesso di accedere. In questo modo, l'intero computer dell'utente veniva cancellato, compresi i file del sistema operativo necessari.

Mentre il tema in questione è stato rimosso dal KDE Store, secondo lo sviluppatore di KDE Nate Grahamci sono alcuni aspetti dell'incidente che spiccano. Il fatto che il tema fosse specificamente ospitato sul KDE Store ufficiale è preoccupante, perché il consiglio tipico degli utenti Linux esperti è di essere molto scettici nei confronti del software proveniente da fonti non ufficiali.

Detto questo, KDE ha un avviso sul KDE Store riguardo ai contenuti inviati dagli utenti che non sono controllati o approvati dal team KDE, e David Edmundson di KDE ha dichiarato in un blog sull'argomento che raccomanda alle organizzazioni che utilizzano KDE di impedire ai loro utenti di installare applicazioni di terze parti con un po' di codice.

Inoltre, Edmundson ha sottolineato che KDE deve migliorare il modo in cui separa i contenuti sicuri (contenuti che contengono solo metadati) da quelli non sicuri (che possono contenere script e simili), nonché il modo in cui comunica i rischi agli utenti e presenta loro dei "dossi" quando installano contenuti potenzialmente non sicuri.

"Dobbiamo migliorare l'equilibrio dell'accesso ai contenuti di terze parti, che permetta ai creatori di condividere e agli utenti di ottenere facilmente questi contenuti, con un numero di controlli e di ostacoli sufficienti a far sì che tutti sappiano quali sono i rischi.

A lungo termine, dobbiamo progredire su due strade. Dobbiamo assicurarci di separare i contenuti "sicuri", in cui si tratta solo di metadati e contenuti, dai contenuti "insicuri", con contenuti scrivibili.

Poi possiamo pensare di fornire la curation e l'auditing come parte del processo di archiviazione, in combinazione con il lento miglioramento del supporto sandbox".

In definitiva, casi come questi evidenziano come l'apertura e le libertà di Linux possano influire negativamente sugli utenti finali se non vengono implementate correttamente. Anche se non si è trattato di un attacco maligno, presenta la possibilità di un attacco maligno e in generale aumenta la sfiducia nei confronti di Linux e di progetti come KDE. Guardando al futuro, sembra che possiamo aspettarci nuovi avvisi sulla sicurezza dei contenuti per il KDE Store e forse metodi un po' meno convenienti per installare contenuti di terze parti.

Se vuole avvicinarsi a Linux in modo un po' più sicuro, provi Valve Steam Deck(https://www.amazon.com/Valve-Steam-Deck-64-GB/dp/B0BFC555RF), che gira su SteamOS - una versione immutabile e containerizzata di Arch Linux. In alternativa, può provare l'Asus ROG Ally, basato su Windows, con Ryzen Z1 Extreme di AMD(attualmente 599,99 dollari presso Best Buy).