Într-o avertizare emisă miercuri, echipa KDE le-a recomandat utilizatorilor Linux să exercite „atenție extremă” atunci când instalează teme globale, chiar și de la magazinul oficial KDE, deoarece aceste teme rulează cod arbitrar pe dispozitive pentru a personaliza aspectul desktopului.
Magazinul KDE permite în prezent oricui să încarce teme noi și diferite alte plugin-uri sau extensii fără nicio verificare a comportamentului malicios.
Cu toate acestea, așa cum a menționat KDE, în prezent le lipsesc resursele pentru a revizui codul folosit de fiecare temă globală trimisă pentru includere în magazinul său oficial. Dacă temele sunt defectuoase sau malicioase, acest lucru poate duce la consecințe neașteptate.
„Temele globale și widgeturile create de dezvoltatorii terți pentru Plasma pot și vor rula cod arbitrar. Sunteți încurajați să exercitați atenție extremă atunci când utilizați aceste produse”, a avertizat KDE.
„Temele globale nu schimbă doar aspectul Plasma, ci și comportamentul. Pentru a face acest lucru, ele rulează cod, iar acest cod poate fi defectuos, așa cum s-a menționat mai sus. La fel se întâmplă și cu widgeturile și plasmoidurile.”
Execuția de cod este necesară deoarece temele globale sunt concepute pentru a schimba totul pe un desktop Plasma, de la icoane până la decorațiunile ferestrelor, ecranele de blocare, ecranele de pornire, imagini de fundal, scheme de culori și așa mai departe, folosind scripturi bash executabile.
Potrivit unui post de pe Reddit citat de KDE, cel puțin un utilizator și-a văzut fișierele șterse după ce a instalat o astfel de temă globală pentru Plasma.
După ce a fost instalată, tema a șters toate datele personale de pe unitățile montate folosind ‘rm -rf’, o comandă UNIX foarte periculoasă care șterge cu forța și recursiv conținutul unui director (inclusiv fișiere și alte foldere) fără avertismente și fără a cere confirmare.
Când această comandă este folosită pentru a șterge fișierele, acestea sunt șterse definitiv și pot fi recuperate doar folosind software de recuperare a datelor sau restaurate din copiile de siguranță.
În timp ce tema globală defectuoasă a fost ulterior eliminată din magazinul KDE, orice altă temă globală disponibilă prin intermediul depozitului oficial de plugin-uri KDE ar putea cauza pierderi de date dacă dezvoltatorii nu le-au testat temeinic înainte de trimiterea lor.
„Execută rm -rf în locul tău [și] șterge toate datele personale imediat. Fără întrebări”, a avertizat utilizatorul KDE. „Am anulat când mi s-a cerut parola de root, dar era prea târziu pentru datele mele personale. Toate unitățile montate sub utilizatorul meu au dispărut, ajungând la 0 octeți. [J]ocuri, configurații, datele browserului, [și] folderul acasă [au] dispărut complet.”
„Apoi a apărut o eroare, [și] plasma mea s-a blocat cumva. [A]poi am verificat și cele două hard-diskuri ale mele au fost șterse complet, jocuri, configurații, date personale, toate dispărute. Orice unitate montată cu permisiuni de utilizator, de asemenea, șterse”, a adăugat utilizatorul într-un alt post de pe Reddit.
Având în vedere riscurile instalării de plugin-uri Plasma neverificate, KDE a cerut comunității să raporteze software-ul defectuos deja disponibil prin intermediul Magazinului KDE.
Echipa a promis, de asemenea, să îngrijească conținutul magazinului și să îmbunătățească avertismentele afișate utilizatorilor înainte de a instala teme dezvoltate de comunitate și plugin-uri pe sistemele lor.
„[T]rebuie să comunicăm clar ce așteptări de securitate ar trebui să aibă utilizatorii Plasma pentru extensiile pe care le descarcă pe desktopurile lor”, a spus David Edmundson, inginer de software și lider de proiect la KDE. „Apoi, putem analiza furnizarea de îngrijire și auditare ca parte a procesului de magazin împreună cu îmbunătățirea lentă a suportului sandboxing.”
„Dacă instalați conținut din magazin, v-aș sfătui să-l verificați local sau să căutați recenzii de la surse de încredere.”
„Cu toate acestea, acest lucru va dura ceva timp și resurse. Recomandăm tuturor utilizatorilor să fie atenți atunci când instalează și rulează software-ul neofeial furnizat direct de KDE sau de distribuitorii voștri,” a adăugat echipa KDE.
Până atunci, utilizatorii vor fi avertizați în continuare atunci când instalează teme globale din setările sistemului KDE: „Conținutul disponibil aici a fost încărcat de utilizatori precum dumneavoastră și nu a fost revizuit de distribuitorul dvs. pentru funcționalitate sau stabilitate.”
Leave a Reply