Pesadelo de segurança do tema do KDE Plasma: o recurso de script pode executar comandos de root, incluindo o pior meme do Linux

Um dos benefícios do software de código aberto, como muitas distribuições Linux preferem, é que qualquer pessoa com o conhecimento e o interesse pode contribuir para a experiência. Normalmente, essa abertura ajuda a tornar o software de código aberto mais seguro, mas o oposto aparentemente aconteceu com o suporte ao Global Theme do KDE Plasma.

Foi descoberto recentemente por um usuário no subreddit r/openSUSE que um Tema Global do KDE Plasma chamado Grey Layout foi capaz de apagar de alguma forma todos os dados do usuário em todas as unidades montadas que o usuário conectado tinha permissão para acessar. Isso efetivamente resultou no apagamento de todo o computador do usuário, incluindo os arquivos necessários do sistema operacional.

Embora o tema em questão tenha sido removido da Loja do KDE, de acordo com o desenvolvedor do KDE Nate Grahamhá alguns aspectos do incidente que se destacam. O fato de o tema ter sido hospedado especificamente na KDE Store oficial é preocupante, porque o conselho típico dado por usuários experientes do Linux é ser muito cético em relação a softwares de fontes não oficiais.

Dito isso, o KDE tem um aviso na Loja do KDE sobre o conteúdo enviado pelo usuário não ser auditado ou endossado pela equipe do KDE, e David Edmundson do KDE disse em um blog sobre o assunto que ele recomenda que as organizações que executam o KDE restrinjam seus usuários de instalar aplicativos de terceiros com um pouco de código.

Além disso, Edmundson enfatizou que o KDE precisa melhorar a forma como ele separa o conteúdo seguro (conteúdo com apenas metadados) do conteúdo inseguro (que pode conter scripts e similares), bem como a forma como ele comunica os riscos aos usuários e apresenta "obstáculos" aos usuários ao instalar conteúdo potencialmente inseguro.

"Precisamos melhorar o equilíbrio do acesso a conteúdo de terceiros que permita que os criadores compartilhem e que os usuários obtenham esse conteúdo com facilidade, com barreiras e verificações suficientes para que todos saibam quais são os riscos envolvidos.

A longo prazo, precisamos avançar em dois caminhos. Precisamos nos certificar de que separamos o conteúdo "seguro", em que há apenas metadados e conteúdo, do conteúdo "inseguro", com conteúdo programável.

Em seguida, podemos considerar o fornecimento de curadoria e auditoria como parte do processo de armazenamento, em combinação com a melhoria lenta do suporte a sandbox."

Em última análise, casos como esse destacam como a abertura e as liberdades do Linux podem afetar negativamente os usuários finais se não forem implementadas corretamente. Embora esse não tenha sido um ataque malicioso, ele apresenta a possibilidade de um ataque malicioso e, em geral, aumenta a desconfiança tanto no Linux quanto em projetos como o KDE. Olhando para o futuro, parece que podemos esperar novos avisos de segurança de conteúdo para a KDE Store e talvez métodos um pouco menos convenientes de instalar conteúdo de terceiros.

Se quiser entrar no Linux de uma forma um pouco mais segura, experimente o Valve Steam Deck(https://www.amazon.com/Valve-Steam-Deck-64-GB/dp/B0BFC555RF), que roda no SteamOS - uma versão imutável e em contêiner do Arch Linux. Como alternativa, o senhor pode conferir o Asus ROG Ally baseado em Windows com o Ryzen Z1 Extreme da AMD(atualmente por US$ 599,99 na Best Buy).