Тема оформления для легендарного рабочего стола Linux сносит пользовательские файлы подчистую
KDE предупреждает
Разработчики окружения рабочего стола для Linux и других Unix-подобных ОС KDE Plasma предупредили пользователей о необходимости подходить к установке глобальных тем оформления и виджетов Plasma с «крайней осторожностью», даже при их загрузке из официального магазина KDE Store, пишет Bleeping Computer.
KDE Store позволяет добавлять новые темы, подключаемые модули и дополнения абсолютно любому желающему и не гарантирует их безопасность. Случайные ошибки или умышленно внесенный разработчиками дополнений вредоносный код могут приводить к непредвиденным последствиям, предупреждают разработчики.
Загружаемый в магазин контент не проходит модерацию, поскольку у команды KDE не хватает на это ресурсов, отмечают разработчики популярной среды рабочего стола.
Активация глобальной темы в Plasma затрагивает ли не каждый аспект оформления рабочего стола, в том числе внешний вид пиктограмм, стиль оформление окон, экрана блокировки, обоев и цветовые схемы. Изменение соответствующих параметров происходит при помощи bash-скриптов, в которые автор может включить совершенно любой набор команд, в том числе способный нанести ощутимый вред.
Опасная тема оформления
В подтверждение серьезности угрозы разработчики KDE приводят практический случай, описанный одним из пользователей Plasma 6, который привел к потере ценных данных.
Как рассказал на дискуссионной площадке Reddit пользователь JeansenVaars, после установки глобальной темы под названием Grey Layout из репозитория KDE Store, он обнаружил, что принадлежащие ему файлы, находившиеся на промонтированных с правами пользователя разделах, бесследно исчезли.
Впоследствии выяснилось, что причина случившего кроется в bash-скрипте, автоматически выполняемом при установке темы и содержащем стандартную UNIX-команду “rm -rf”. Она молча и без дополнительных вопросов стирает все файлы в заданном каталоге и его подкаталогах. В качестве аргумента команда принимает имена файлов или каталогов, которые необходимо стереть – здесь применимы символы подстановки для подбора имен по шаблону, что делает возможным массовое удаление большого количества файлов в один проход.
«Скрипт выполняет rm -rf от вашего имени [и] немедленно удаляет все личные данные, ничего не спрашивая, – предупредил пользователь KDE Plasma. – Я отменил процедуру, когда скрипт запросил мой пароль root, но было слишком поздно для моих личных данных. Все диски, подключенные под моим пользователем, исчезли, сократившись до 0 байт. Игры, файлы конфигурации, данные браузера и папка home – все исчезло».
Пока неизвестно, был ли у автора темы под псевдонимом satorugojo злой умысел, или же в скрипт просочилась ошибка, связанная с заданием некорректного значения переменной, которая используется для подстановки в качестве аргумента команды “rm”. Однако опасное дополнение после появления жалоб на Reddit было оперативно удалено из KDE Store. На момент публикации жалобы злополучная тема имела почти 3,8 тыс. загрузок и рейтинг в 2,5 балла из 5 возможных.
KDE займется модерацией магазина… когда-нибудь
В свете рисков, сопряженных с установкой непроверенных плагинов Plasma, команда KDE выступила с призывом к сообществу сообщать об опасном ПО, уже присутствующем в KDE Store.
Разработчики также пообещали взять магазин под контроль и, помимо этого, более ответственно подходить к вопросу информирования пользователей о потенциальной опасности ПО из KDE Store, разработанного сообществом. Затем, по словам главы проекта KDE Дэвида Эдмундсона (David Edmundson), разработчики перейдут к неспешному «улучшению поддержки песочницы». Однако на внедрение новых практик и улучшений потребуется определенное время и ресурсы, подытожил Эдмундсон.
Проект KDE Plasma (до 2010 г. – просто KDE) развивается с 1996 международным сообществом разработчиков KDE. Программный код среды рабочего стола является полностью открытым и распространяется на условиях свободной лицензии GNU GPL.
Открытость кода адепты модели open source-разработки часто называют залогом безопасности, и существуют определенные данные, свидетельствующие в пользу обоснованности этого утверждения. Так, в 2014 г. Coverity, специализирующаяся на решениях в области тестирования ПО, выпустила отчет, согласно которому, открытый код в общем случае качественнее закрытого. К такому выводу специалисты компании пришли, изучив более 900 тыс. строк C/C++-кода проприетарных и разрабатываемых силами open source-сообщества проектов. Последние, как показало исследование, содержали меньшее количество ошибок на тысячу строк кода.