Segurança digital

Vulnerabilidade no Yelp do Ubuntu expõe chaves SSH através de links maliciosos

Uma falha no sistema de ajuda do Ubuntu permite que links específicos revelem informações privadas, como sua chave SSH. Veja como isso acontece e como evitar.

15/04/2025 17:02

Você já imaginou que abrir um link poderia expor seus arquivos pessoais mais importantes? Pois é exatamente isso que acontece com uma vulnerabilidade recente descoberta no sistema de ajuda do Ubuntu, chamado Yelp.

Esse aplicativo, que a maioria dos usuários nem lembra que existe, é acionado automaticamente ao abrir certos tipos de links que começam com ghelp://. E é aí que o perigo começa.

O que torna essa falha tão perigosa?

A falha permite que alguém crie um link aparentemente inofensivo, mas que, ao ser aberto, acessa arquivos que deveriam estar protegidos — como sua chave SSH privada, usada para acessar servidores e serviços remotamente.

Esse tipo de exploração não requer truques complexos: basta que o usuário clique em um link preparado por quem quer atacar. O Yelp, então, interpreta um arquivo disfarçado de ajuda e, sem perceber, mostra o conteúdo de arquivos do seu sistema.

Como o ataque acontece em linguagem simples

Vamos traduzir o que está acontecendo nos bastidores em etapas fáceis de entender:

Um arquivo com aparência de documentação (mas que é, na verdade, uma armadilha) é salvo no computador da vítima.
Esse arquivo usa uma técnica para “puxar” o conteúdo de outro arquivo — como ~/.ssh/id_rsa, que guarda a chave privada SSH.
A vítima recebe um link com aparência normal, algo como ghelp://downloads/ajuda.page.
Quando o link é clicado, o Yelp exibe o conteúdo da tal “ajuda”, mas o que está ali dentro pode ser a sua chave SSH — ou qualquer outro arquivo sensível.

O que torna isso mais grave é que o atacante nem precisa saber o nome do usuário ou ter acesso ao sistema — o próprio Ubuntu, por padrão, ajuda a fazer isso acontecer ao abrir automaticamente o Yelp com esses links.

Exemplos de arquivos que podem ser roubados

O acesso via link malicioso não se limita às chaves SSH. Veja alguns exemplos do que pode ser exposto:

Informações de usuários (/etc/passwd);
Tokens de autenticação salvos em arquivos de configuração;
Anotações privadas ou arquivos pessoais;
Scripts automatizados com senhas embutidas;
Logs de programas usados recentemente.

O que fazer para se proteger

Aqui vão ações práticas que qualquer usuário pode adotar para evitar cair nesse tipo de armadilha:

1. Faça uma verificação e atualize o sistema

A primeira e mais óbvia ação é manter o sistema sempre atualizado. Vulnerabilidades como essa geralmente são corrigidas rapidamente após serem descobertas.

sudo apt update && sudo apt upgrade

2. Desconfie de qualquer link estranho

Links que começam com ghelp:// não são comuns no dia a dia. Se receber um por e-mail, mensagem ou qualquer outro canal, evite clicar.

3. Limpe sua pasta de Downloads

Evite acumular arquivos desconhecidos ou que você não lembra de ter baixado. Especialmente os que terminam em .page.

4. Remova o Yelp, se não usa

Se você não costuma utilizar o sistema de ajuda do Ubuntu, simplesmente remova o aplicativo do seu sistema.

sudo apt remove yelp

E se eu já tiver sido afetado?

Se você suspeita que clicou em algum link desse tipo recentemente, tome providências agora:

Gere novas chaves SSH e remova as antigas de servidores que você acessa;
Revise arquivos confidenciais no seu diretório pessoal;
Altere senhas ou tokens que possam ter sido comprometidos;
Considere reinstalar ou restaurar o sistema se houver sinais de invasão.

Não subestime aplicativos secundários

Essa vulnerabilidade mostra que qualquer componente do sistema pode se tornar um ponto de entrada para ataques, mesmo aqueles que parecem inofensivos ou esquecidos no menu de aplicativos.

Por isso, vale reforçar: manter o sistema atualizado, evitar clicar em links desconhecidos e conhecer os componentes que você tem instalado são atitudes básicas, mas extremamente eficazes.

Emanuel Negromonte Autor

Emanuel Negromonte

Autor

Jornalista especialista em Linux a mais de 20 anos. Fundador do SempreUpdate e entusiasta do software livre.

Mais Notícias

Mais artigos

Ameaça cibernética

Falha crítica no Ivanti Connect Secure é explorada para disseminar malware avançado

Uma vulnerabilidade crítica (CVE-2025-22457) no Ivanti Connect Secure está sendo explorada para distribuir os malwares TRAILBLAZE e BRUSHFIRE. A falha permite execução remota de código, comprometendo a segurança dos dispositivos afetados.

Logotipo do GitHub em destaque, cercado por um fundo escuro com linhas coloridas em movimento, representando a inovação tecnológica e a dinâmica do desenvolvimento de software.

Segurança digital

GitHub reforça segurança após vazamento massivo de segredos

O GitHub aprimorou sua plataforma Advanced Security após detectar 39 milhões de segredos expostos em repositórios em 2024. As novas medidas incluem detecção avançada por IA, avaliações gratuitas e maior controle de proteção para evitar vazamentos de credenciais.

Segurança cibernética

Google corrige falha no Cloud Run que permitia acesso não autorizado a contêineres

O Google corrigiu uma vulnerabilidade no Cloud Run que permitia que invasores acessassem imagens de contêineres e injetassem código malicioso. A falha, chamada de ImageRunner, foi resolvida em janeiro de 2025, garantindo maior segurança no Google Cloud Platform.

configuracoes-confidenciais-de-wi-fi-nao-podem-ser-excluidos-de-impressoras-jato-de-tinta-canon

Falha crítica

Microsoft alerta sobre falha grave em drivers de impressora Canon

A Microsoft identificou uma vulnerabilidade crítica (CVE-2025-1268) nos drivers de impressoras Canon que pode permitir execução remota de código. A Canon já lançou correções e recomenda a atualização imediata dos drivers para mitigar riscos.

Segurança digital

Hackers exploram plugins ocultos do WordPress para espalhar malware

Hackers estão abusando do diretório mu-plugins do WordPress para esconder malware, redirecionar usuários e manipular SEO. Veja como proteger seu site.

cloudflare-diz-que-recente-interrupcao-esta-ligada-ao-incidente-de-sequestro-de-bgp

Falha crítica

Cloudflare R2: erro na rotação de credenciais causou falha global

O Cloudflare R2 sofreu uma interrupção global de 1 hora e 7 minutos devido a um erro na rotação de credenciais. A falha impactou gravação e leitura, afetando serviços dependentes. A Cloudflare implementou medidas para evitar novos incidentes.