Encontrar falhas sérias em algumas distribuições virou, literalmente, brincadeira de criança. Duas delas foram brincar no computador do pai que estava com bloqueio de tela. Elas descobriram uma falha no sistema operacional Linux Mint que permite acessar o computador normalmente. É o que está neste relatório de bug no GitHub. Os desenvolvedores da distribuição dizem que já corrigiram o problema. A falha descoberta pelas crianças abria uma brecha perigosa para que cibercriminosos driblassem a senha de proteção de tela e acessasse desktops bloqueados.
Essa falha de segurança parece afetar todas as versões, especialmente as séries Linux Mint 20 e e Debian Edition mais atuais.
“Algumas semanas atrás, meus filhos queriam hackear meu desktop Linux, então eles digitaram e clicaram em todos os lugares enquanto eu estava atrás deles olhando para eles jogarem”, escreveu um usuário que se identificou como robo2bobo.
Crianças brincam no computador do pai e descobrem falha de segurança no Linux Mint
De acordo com o relatório de bug, as duas crianças pressionaram teclas aleatórias nos teclados físicos e na tela, o que acabou levando a um travamento do protetor de tela do Linux Mint, permitindo que os dois acessassem o desktop.
Achei que foi um incidente único, mas eles conseguiram fazer uma segunda vez. Portanto, consideraria este problema … reproduzível … por crianças! Tentei recriar o travamento sozinho, sem sucesso, talvez porque exigisse mais de 4 pequenas mãos digitando e usando o mouse no teclado virtual. Talvez não seja o melhor relatório de bug, mas já vi o bloqueio de tela travar duas vezes com meus próprios olhos, então é bem real.
Uma última coisa, depois que a área de trabalho é desbloqueada, não consigo bloqueá-la novamente. O processo do protetor de tela está praticamente morto e exige que eu abra um shell e execute o ‘cinnamon-screensaver’ manualmente para fazê-lo funcionar.
Para hackear, crianças usaram a tecla ? no OSK
De acordo com o desenvolvedor líder do Linux Mint, Clement Lefebvre, o problema acabou sendo rastreado até libcaribou, o componente do teclado na tela (OSK) que acompanha o Cinnamon, a interface de desktop usada pelo Linux Mint.
Mais especificamente, o bug ocorre quando os usuários pressionam a tecla “?” no teclado da tela.
Porém, embora na maioria dos cenários o bug traga o processo do desktop Cinnamon, se o teclado na tela for aberto a partir do protetor de tela, o bug trava o protetor. Assim, permite que os usuários acessem o desktop.
Lefebvre disse que o bug foi introduzido no Linux Mint OS quando o projeto corrigiu outra vulnerabilidade em outubro passado, rastreada como CVE-2020-25712.
Desde então, todas as distribuições do Linux Mint usando uma versão do Cinnamon de 4.2 e posterior estão vulneráveis. O Cinnamon 4.2 é onde o teclado na tela foi adicionado à página do protetor de tela.
Um patch foi lançado esta semana, na quarta-feira, que corrige o bug e evita travamentos futuros.
Lefebvre disse que o projeto Linux Mint está trabalhando agora para adicionar uma configuração que permitirá aos usuários desabilitar o teclado na tela, o que tornaria mais fácil mitigar bugs futuros neste componente até que os patches estejam geralmente disponíveis.
Linux Mint já foi hackeado antes
Na verdade, esta nem é a primeira vez que o Linux Mint é hackeado. Em fevereiro de 2016, o site da distribuição foi hackeado e todas as ISOs originais substituídas por outras com backdoor. Naquela ocasião, o Linux Mint Forum também foi hackeado. O banco de dados do fórum também ficou vulnerável. Isso deu aos hackers acesso ao e-mail dos usuários e à versão criptografada de suas senhas.