Ubuntu, a distribuição Linux mais popular, retirou sua versão Desktop 23.10 após descobrir que suas traduções ucranianas continham discursos de ódio.
Segundo o projeto Ubuntu, um contribuidor mal-intencionado está por trás das ofensas anti-semitas, homofóbicas e xenófobas que foram injetadas na distribuição por meio de uma "ferramenta de terceiros" que fica fora do Arquivo Ubuntu.
Nesta semana, o Ubuntu retirou seu instalador Desktop 23.10 depois de encontrar expressões insultantes na sua versão ucraniana.
"Identificamos discursos de ódio de um contribuidor mal-intencionado em algumas de nossas traduções submetidas como parte de uma ferramenta de terceiros fora do Arquivo Ubuntu", anunciou o projeto.
"A imagem do Ubuntu 23.10 foi retirada e uma nova versão estará disponível uma vez que as traduções corretas tenham sido restauradas."
Em seu fórum comunitário, a equipe Ubuntu explicou que as traduções ucranianas maliciosas foram enviadas por um contribuidor da comunidade para um "serviço online público de terceiros" utilizado pelo Instalador Desktop do Ubuntu para fornecer suporte ao idioma.
"Cerca de três horas após o lançamento do Ubuntu 23.10, este fato foi trazido à nossa atenção e imediatamente removemos as imagens afetadas.
Depois de completar a triagem inicial, acreditamos que o incidente impacta apenas as traduções apresentadas a um usuário durante a instalação através do ambiente Live CD (não uma atualização).
Durante a instalação, as traduções ficam armazenadas na memória e não são propagadas para o disco.
Se você atualizou para o Ubuntu Desktop 23.10 a partir de uma versão anterior, então você não é afetado por este problema.
As imagens impactadas foram Ubuntu Desktop 23.10 e Ubuntu Budgie 23.10.
A ISO Ubuntu Desktop Legacy ainda está disponível e não foi afetada.
Lembre-se de que as traduções são arquivos de dados que apoiam a internacionalização de aplicativos.
Estes arquivos são atualizados com o apoio de sistemas online de terceiros com contribuições de indivíduos ao redor do mundo que são então integradas ao Ubuntu.
É infeliz quando esse caminho de colaboração é prejudicado e usado como um mecanismo de agressão social.
A Canonical e o Ubuntu não apoiam discursos de ódio ou linguagem ofensiva de qualquer tipo, como indica nosso código de conduta 21."
Um pull request no GitHub identificada por usuários do Reddit [1, 2], removeu as "strings [localização] insultantes" por volta de 12 de outubro.
As strings ucranianas maliciosas criptografadas foram injetadas por um usuário de nome "Danilo Negrilo" perto do final do arquivo de traduções, tornando-as mais difíceis de identificar.
Embora as traduções mal-intencionadas tenham sido descobertas num momento de tensões crescentes no Oriente Médio, o histórico de commits confirma que a sabotagem ocorreu por volta de 22 de setembro, antes da guerra entre Israel e Hamas entrar em vigor.
Dado o impacto deste incidente permaneceu limitado às traduções, usuários expressaram preocupações sobre a possibilidade de malwares serem injetados em futuros lançamentos do Ubuntu através de dependências de maneira similar.
"Confio no Ubuntu porque é o mais amplamente utilizado, então deveria ter a melhor equipe de revisão, mas se isso aconteceu com as traduções e ninguém viu, imagine com dependências com malware injetado," postou um usuário no X (antes Twitter).
"Acho que ninguém revisa nada."
"Se isso é verdade, então significa que vocês não estão testando as versões não-inglesas da sua distribuição," disse outro.
"As possibilidades de malware de atores de má-fé são enormes.
Isso é algo que precisa ser abordado.
Você não é elementaryOS.
Você é uma grande empresa e isso não deveria acontecer."
Vale ressaltar, no entanto, que revisar traduções submetidas em diferentes idiomas - a menos que os próprios desenvolvedores sejam proficientes nessas línguas - é uma tarefa muito mais desafiadora que uma auditoria de segurança de código regular pode não estar preparada para.
Além disso, dependências, código e componentes de código aberto podem passar por um processo de validação separado, destinado a combater malwares, do que o adequado para traduções, tornando incidentes como estes mais difíceis de descobrir.
O Ubuntu agora restaurou suas traduções ucranianas "para o estado antes de serem sabotadas", mas está dedicando mais tempo a "uma auditoria mais ampla antes de torná-la oficialmente disponível."
Enquanto isso, os usuários são aconselhados a baixar o Ubuntu Desktop 23.10 na página de downloads do Ubuntu usando o instalador ISO Legacy que não foi afetado pelo incidente.
Alternativamente, os usuários podem atualizar a partir de uma versão anteriormente suportada do Ubuntu.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...