A equipe do Ubuntu descobriu que as traduções em ucraniano do Ubuntu 23.10 tinham discurso de ódio e tiveram que removê-las.
Ubuntu, uma das distribuição Linux mais populares da atualidade, retirou sua versão 23.10 para desktop, depois que foi descoberto que suas traduções em ucraniano continham discurso de ódio.
De acordo com o projeto Ubuntu, um contribuidor malicioso está por trás de insultos antissemitas, homofóbicos e xenófobos que foram injetados na distro por meio de uma “ferramenta de terceiros” que reside fora do Ubuntu Archive.
Traduções em ucraniano do Ubuntu 23.10 tinham discurso de ódio
Esta semana, o Ubuntu desativou seu instalador da versão 23.10 para desktop, depois de detectar strings insultuosas enterradas em seu lançamento ucraniano.
“Identificamos discurso de ódio de um colaborador malicioso em algumas de nossas traduções enviadas como parte de uma ferramenta de terceiros fora do arquivo Ubuntu”, anunciou o projeto.
“A imagem do Ubuntu 23.10 foi removida e uma nova versão estará disponível assim que as traduções corretas forem restauradas.”
No fórum da comunidade, a equipe do Ubuntu explicou ainda que traduções maliciosas em ucraniano foram enviadas por um contribuidor da comunidade para um “serviço online público de terceiros” baseado no Ubuntu Desktop Installer para fornecer suporte ao idioma.
“Cerca de três horas após o lançamento do Ubuntu 23.10, esse fato foi trazido ao nosso conhecimento e removemos imediatamente as imagens afetadas.
Após concluir a triagem inicial, acreditamos que o incidente afetará apenas as traduções apresentadas a um usuário durante a instalação por meio do ambiente Live CD (não uma atualização). Durante a instalação, as traduções residem apenas na memória e não são propagadas para o disco. Se você atualizou para o Ubuntu Desktop 23.10 de uma versão anterior, não será afetado por esse problema.
As imagens impactadas foram o Ubuntu Desktop 23.10 e Ubuntu Budgie 23.10.
O Ubuntu Desktop Legacy ISO ainda está disponível e não foi afetado.
Tenha em mente que as traduções são arquivos de dados que suportam a internacionalização de aplicações. Esses arquivos são atualizados com o suporte de sistemas online de terceiros com contribuições de indivíduos de todo o mundo que são integrados ao Ubuntu. É lamentável quando esse caminho de colaboração é prejudicado e utilizado como mecanismo de agressão social. A Canonical e o Ubuntu não toleram discurso de ódio ou linguagem ofensiva de qualquer tipo, conforme nosso código de conduta 21.”
Uma solicitação pull do GitHub detectada por usuários do Reddit [1, 2] e vista pelo BleepingComputer removeu as “strings [de localização] insultuosas” por volta de 12 de outubro.
O site BleepingComputer observou que as strings ucranianas maliciosas e enigmáticas foram injetadas por um usuário chamado “Danilo Negrilo” no final do arquivo de tradução, tornando-as mais difíceis de detectar.
Embora as traduções maliciosas tenham sido descobertas num momento de tensões elevadas no Médio Oriente, a história do commit confirma que a sabotagem ocorreu por volta de 22 de Setembro, antes da entrada em vigor da guerra Israel-Hamas.
Dado que o impacto deste incidente permaneceu limitado às traduções, os usuários levantaram preocupações sobre a possibilidade de malware que poderia ser injetado em futuras versões do Ubuntu através de dependências de maneira semelhante.
“Confio no Ubuntu porque é o mais usado então deveria ter a melhor equipe de revisão, mas se isso aconteceu com traduções e ninguém viu, imagine com dependências com malware injetado. Acho que ninguém avalia nada.” , postou um usuário no X (antigo Twitter).
“Se isso for verdade, então significa que você não está testando beta as versões em outros idiomas da sua distro”, disse outro.
“As possibilidades de malware de atores de má-fé são enormes. Isso é algo que precisa ser superado. Você não é o elementaryOS. Você é uma grande empresa e isso não deveria acontecer.”
Vale a pena notar, no entanto, que revisar traduções enviadas em diferentes idiomas – a menos que os próprios desenvolvedores sejam proficientes nesses idiomas – é uma tarefa muito mais desafiadora para a qual uma auditoria regular de segurança de código pode não ser projetada.
Além disso, dependências, códigos e componentes de código aberto podem passar por um processo de validação separado, destinado a impedir malware, daquele adequado para traduções, dificultando a descoberta de incidentes como esses.
O Ubuntu agora restaurou suas traduções ucranianas “ao estado anterior à sabotagem”, mas está gastando mais tempo em “uma auditoria mais ampla antes de disponibilizá-las oficialmente”.
Enquanto isso, os usuários são aconselhados a baixar o Ubuntu Desktop 23.10 na página de downloads do Ubuntu usando o instalador ISO legado que não foi afetado pelo incidente. Alternativamente, os usuários podem atualizar de uma versão do Ubutnu suportada anteriormente.