Na quarta-feira, a equipe do KDE alertou os usuários do Linux a exercerem "extrema cautela" ao instalar temas globais, mesmo da loja oficial KDE, pois esses temas executam códigos arbitrários nos dispositivos para personalizar a aparência da área de trabalho.
A Loja KDE atualmente permite que qualquer pessoa faça upload de novos temas e vários outros plugins ou complementos sem quaisquer verificações para comportamento malicioso.
No entanto, como o KDE mencionou, atualmente não possui recursos para revisar o código usado por cada tema global enviado para inclusão em sua loja oficial.
Se os temas forem defeituosos ou maliciosos, isso pode resultar em consequências inesperadas.
"Temas globais e widgets criados por desenvolvedores de terceiros para o Plasma podem e vão rodar código arbitrário.
Você é encorajado a exercer extrema cautela ao usar esses produtos", advertiu o KDE.
"Os temas globais não só mudam a aparência do Plasma, mas também o comportamento.
Para fazer isso, eles rodam código, e este código pode ser defeituoso, como no caso mencionado acima.
O mesmo vale para widgets e plasmóides."
A execução de código é necessária porque os temas globais são projetados para mudar tudo em uma área de trabalho Plasma, desde ícones até decorações de janelas, telas de bloqueio, telas de inicialização, papéis de parede, esquemas de cores, e assim por diante, usando scripts bash executáveis.
De acordo com uma postagem no Reddit citada pelo KDE, pelo menos um usuário teve seus arquivos apagados após instalar um desses temas globais do Plasma.
Depois de instalado, o tema deletou todos os dados pessoais de unidades montadas usando 'rm -rf', um comando UNIX muito perigoso que apaga de forma forçada e recursiva o conteúdo de um diretório (incluindo arquivos e outras pastas) sem quaisquer avisos e pedindo confirmação.
Quando esse comando é usado para excluir arquivos, eles são permanentemente apagados e só podem ser recuperados usando software de recuperação de dados ou restaurados a partir de backups.
Embora o tema global defeituoso já tenha sido removido da loja do KDE, outros temas globais disponíveis no repositório oficial de plugins do KDE podem causar perda de dados se os desenvolvedores não testarem completamente antes da submissão.
"Ele executa rm -rf em seu nome e exclui todos os dados pessoais imediatamente.
Sem perguntas," advertiu o usuário do KDE.
"Eu cancelei isso quando pediu minha senha root, mas já era tarde demais para meus dados pessoais.
Todos os drives montados em meu usuário se foram, reduzidos a 0 bytes.
Jogos, configurações, dados de navegadores, pasta home, tudo se foi."
"Então ele mostrou algum tipo de erro, e meu plasma meio que travou.
Aí eu verifiquei e meus dois hard-drives foram totalmente apagados, jogos, configurações, dados pessoais, tudo se foi.
Qualquer drive montado com permissões de usuário também foi totalmente apagado", acrescentou o usuário em uma postagem separada no Reddit.
Em vista dos riscos associados à instalação de plugins Plasma não verificados, o KDE pediu à comunidade que denunciasse software defeituoso já disponível na Loja KDE.
A equipe também prometeu curar o conteúdo da loja e melhorar os avisos mostrados aos usuários antes de instalarem temas e plugins desenvolvidos pela comunidade em seus sistemas.
"Precisamos comunicar claramente quais expectativas de segurança os usuários do Plasma devem ter para as extensões que baixam para suas áreas de trabalho", disse David Edmundson, Engenheiro de Software e Líder de Projeto no KDE.
"Então, podemos olhar para fornecer curadoria e auditoria como parte do processo da loja em combinação com melhorias lentas no suporte a sandbox."
"Se você instalar conteúdo da loja, eu aconselho a conferir localmente ou procurar por avaliações de fontes confiáveis."
"No entanto, isso vai levar tempo e recursos, recomendamos a todos os usuários que tenham cuidado ao instalar e rodar software não fornecido diretamente pelo KDE ou seus distribuidores", acrescentou a equipe do KDE.
Até lá, os usuários ainda serão avisados ao instalar temas globais nas configurações do sistema KDE: "O conteúdo disponível aqui foi enviado por usuários como você e não foi avaliado pelo seu distribuidor quanto à funcionalidade ou estabilidade."
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...