Un tema scaricato dallo store di KDE cancellava i dati utente
by on
 |
| Image by OpenClipart-Vectors from Pixabay |
Attenzione a temi e plasmoidi per KDE installati dallo Store di KDE, potrebbero cancellare tutti vostri.
Ebbene si, può sembrare una esagerazione ma è esattamente quello che è accaduto ad un utente dopo aver installato un tema dallo store di KDE.
Un tema presente nello store di terze parti di KDE presentava uno script che rimuoveva i dati degli ignari utenti che l'avevano installato. Lo script eliminava tutti i dati delle unità montate dall'utente eseguendo il comando rm -rf, cancellando immediatamente tutti i dati personali. Questo avveniva senza aver mostrato all'utente nessun avviso o richiesta di autorizzazione.
Il tema, fortunatamente, è stato prontamente identificato e rimosso, ma non prima di aver causato danni.
Come è stato possibile questo incidente di sicurezza?
Per gli sviluppatori non è una sorpresa che i plugin di terze parti possano fare questo genere di cose. Un tema globale può fornire schermate di blocco personalizzate, applet personalizzate, impostazioni personalizzate e tutti questi possono eseguire codice in bundle arbitrario. Non è possibile vincolarlo senza limitare la funzionalità.
Quindi tale rischio è intrinseco nel sistema di gestione e installazione di temi e plugin e non è possibile imporre vincoli senza limitarne le funzionalità.
Cosa farà ora il team di KDE
Il team di KDE ha deciso che, nel breve termine, si concentreranno sulla comunicazione, andando a comunicare agli utenti quali aspettative di sicurezza dovrebbero avere gli utenti di KDE quando vanno a scaricare temi e plasmoidi dallo Store di KDE. Applet, script e servizi, essendo programmi, sono facilmente
riconoscibili come potenziali rischi. È più difficile riconoscere che i
temi Plasma, i plugin per sfondi e gli script Kwin non sono solo grafica
e dati passivi, ma possono potenzialmente includere anche script che
possono avere conseguenze indesiderate o dannose.
A lungo termine procederanno seguendo due strade. La prima cosa da fare è separare i contenuti "sicuri", dove si tratta solo di metadati e contenuti, dai contenuti "non sicuri" con contenuti scriptabili. La seconda cosa controllare il materiale presente sullo store di KDE e migliorare il supporto al sandboxing dei contenuti una volta scaricati.
Leggi il contenuto originale su Marco's Box
Tutorial
- Creare VLAN in Linux utilizzando il comando ip
- Introduzione a AutoFS
- [Guida] Eternal Terminal: connessioni SSH persistenti su GNU/Linux
![[Guida] Eternal Terminal: connessioni SSH persistenti su GNU/Linux](https://www.feedlinux.com/wp-content/uploads/2021/01/eternal-terminal-install-300x139.png)
- Passare da CentOS 8 a Oracle Linux 8
- Installare Wine 5 su Debian 10
- Creare usb Windows 10 UEFI con Debian 10 e WoeUSB-fronted-wxgtk
- Incrementare swap su Rasperry Pi
