Pesadilla de seguridad en la tematización de Plasma de KDE: la función de scripting puede ejecutar comandos de root, incluido el peor meme de Linux

Una de las ventajas del software de código abierto, como prefieren muchas distribuciones de Linux, es que cualquiera con los conocimientos y el interés necesarios puede aportar algo a la experiencia. Normalmente, esta apertura ayuda a que el software de código abierto sea más seguro, pero aparentemente ha ocurrido lo contrario con el soporte de Temas Globales de KDE Plasma.

Recientemente, un usuario descubrió en el subreddit r/openSUSE que un Tema Global de KDE Plasma llamado Grey Layout era capaz de borrar de alguna manera todos los datos del usuario en todas las unidades montadas a las que el usuario conectado tenía permiso de acceso. Esto resultó efectivamente en el borrado de todo el ordenador del usuario, incluyendo los archivos necesarios del sistema operativo.

Aunque el tema en cuestión fue retirado de la tienda de KDE, según el desarrollador de KDE Nate Grahamhay algunos aspectos del incidente que llaman la atención. El hecho de que el tema estuviera alojado específicamente en la tienda oficial de KDE es preocupante, porque el consejo típico que dan los usuarios experimentados de Linux es ser muy escépticos con el software de fuentes no oficiales.

Dicho esto, KDE tiene una advertencia en la Tienda de KDE sobre el contenido enviado por los usuarios que no está auditado ni respaldado por el equipo de KDE, y David Edmundson de KDE dijo en un blog sobre el tema que recomienda a las organizaciones que ejecutan KDE que restrinjan a sus usuarios la instalación de aplicaciones de terceros con un poco de código.

Además, Edmundson subrayó que KDE necesita mejorar la forma en que separa los contenidos seguros (contenidos que sólo contienen metadatos) de los no seguros (que pueden contener scripts y similares), así como la forma en que comunica los riesgos a los usuarios y les presenta "obstáculos" a la hora de instalar contenidos potencialmente no seguros.

"Tenemos que mejorar el equilibrio del acceso a contenidos de terceros que permita a los creadores compartir y a los usuarios obtener estos contenidos fácilmente, con suficientes "speed-bumps" y comprobaciones para que todo el mundo sepa qué riesgos conlleva.

A largo plazo tenemos que avanzar en dos vías. Tenemos que asegurarnos de que separamos el contenido "seguro", en el que sólo hay metadatos y contenido, del contenido "inseguro" con contenido scriptable.

Luego podemos estudiar la posibilidad de proporcionar la curación y la auditoría como parte del proceso de la tienda en combinación con la mejora lenta del soporte sandbox."

En última instancia, casos como estos ponen de relieve cómo la apertura y las libertades de Linux pueden afectar negativamente a los usuarios finales si no se implementan correctamente. Aunque no se trató de un ataque malintencionado, presenta la posibilidad de un ataque malintencionado y, en general, aumenta la desconfianza tanto en Linux como en proyectos como KDE. De cara al futuro, parece que podemos esperar nuevas advertencias de seguridad de contenidos para la tienda de KDE y quizá métodos algo menos cómodos para instalar contenidos de terceros.

Si desea introducirse en Linux de una forma algo más segura, pruebe la Steam Deck de Valve(https://www.amazon.com/Valve-Steam-Deck-64-GB/dp/B0BFC555RF), que funciona con SteamOS, una versión inmutable y en contenedores de Arch Linux. Como alternativa, eche un vistazo al Asus ROG Ally basado en Windows con el Ryzen Z1 Extreme de AMD(actualmente 599,99 dólares en Best Buy).