Recentemente, o KDE aconselhou extremo cuidado ao instalar temas globais por causa do risco da execução de código arbitrário.
Na quarta-feira, a equipe do KDE alertou os usuários do Linux para terem “extremo cuidado” ao instalar temas globais, mesmo da Loja oficial do KDE, porque esses temas executam código arbitrário em dispositivos para personalizar a aparência da área de trabalho.
KDE aconselhou extremo cuidado ao instalar temas globais
A Loja KDE atualmente permite que qualquer pessoa carregue novos temas e vários outros plug-ins ou complementos sem qualquer verificação de comportamento malicioso.
No entanto, como disse o KDE, atualmente faltam recursos para revisar o código usado por cada tema global submetido para inclusão em sua loja oficial. Se os temas forem defeituosos ou maliciosos, isso pode resultar em consequências inesperadas.
“Temas e widgets globais criados por desenvolvedores terceirizados para o Plasma podem e irão executar código arbitrário. Você é encorajado a ter extremo cuidado ao usar esses produtos”, advertiu o KDE.
“Os temas globais não alteram apenas a aparência do Plasma, mas também o comportamento. Para fazer isso eles executam código, e esse código pode apresentar falhas, como no caso mencionado acima. O mesmo vale para widgets e plasmóides.”
A execução de código é necessária porque os temas globais são projetados para mudar tudo em uma área de trabalho do Plasma, desde ícones até decorações de janelas, telas de bloqueio, telas iniciais, papéis de parede, esquemas de cores e assim por diante, usando scripts bash executáveis.
O tema global limpa os arquivos do usuário usando ‘rm -rf
‘
De acordo com uma postagem do Reddit citada pelo KDE, pelo menos um usuário teve seus arquivos apagados após instalar um tema global do Plasma.
Depois de instalado, o tema excluiu todos os dados pessoais das unidades montadas usando ‘rm -rf
‘, um comando UNIX muito perigoso que exclui de forma forçada e recursiva o conteúdo de um diretório (incluindo arquivos e outras pastas) sem nenhum aviso e sem solicitar confirmação.
Quando este comando é usado para excluir arquivos, eles são apagados permanentemente e só podem ser recuperados usando um software de recuperação de dados ou restaurados a partir de backups.
Embora o tema global defeituoso tenha sido removido da loja do KDE, quaisquer outros temas globais disponíveis através do repositório oficial de plugins do KDE podem causar perda de dados se os desenvolvedores não os testarem completamente antes do envio.
“Ele executa rm -rf em seu nome [e] exclui todos os dados pessoais imediatamente. Sem perguntas”, alertou o usuário do KDE.
“Cancelei isso quando pedi minha senha de root, mas era tarde demais para meus dados pessoais. Todas as unidades montadas sob meu usuário desapareceram, com até 0 bytes. [Jogos, configurações, dados do navegador, [e] pasta inicial [desapareceu].”
“Então ocorreu algum tipo de erro, [e] meu plasma travou. [T] quando verifiquei e meus dois discos rígidos foram totalmente apagados, jogos, configurações, dados pessoais, tudo desapareceu. Qualquer unidade montada com o usuário as permissões também foram eliminadas”, acrescentou o usuário em uma postagem separada no Reddit.
À luz dos riscos por trás da instalação de plugins do Plasma não verificados, o KDE pediu à comunidade que relatasse software defeituoso já disponível na Loja KDE.
A equipe também prometeu fazer a curadoria do conteúdo da loja e melhorar os avisos mostrados aos usuários antes de instalar temas e plug-ins desenvolvidos pela comunidade em seus sistemas.
David Edmundson, engenheiro de software e líder de projeto do KDE, disse que:
“Precisamos comunicar claramente quais expectativas de segurança os usuários do Plasma devem ter em relação às extensões que baixam em seus desktops. Então, podemos considerar o fornecimento de curadoria e auditoria como parte do processo da loja, em combinação com a melhoria lenta do suporte ao sandbox.”
“Se você instalar conteúdo da loja, recomendo verificá-lo localmente ou procurar avaliações de fontes confiáveis.”
“No entanto, isso exigirá tempo e recursos. Recomendamos a todos os usuários que tenham cuidado ao instalar e executar software não fornecido diretamente pelo KDE ou por suas distros”, acrescentou a equipe do KDE.
Até então, os usuários ainda serão avisados ao instalar temas globais a partir das configurações do sistema KDE: “O conteúdo disponível aqui foi enviado por usuários como você e não foi revisado pelo seu distribuidor quanto à funcionalidade ou estabilidade.”