Duas crianças brincando no computador do pai encontraram uma vulnerabilidade no protetor de tela do Linux Mint, no final de dezembro de 2020. Segundo o pai, que relatou o caso em um fórum do GitHub, a vulnerabilidade permitiu contornar a necessidade de uma senha ao tentar acessar o computador, após a proteção de tela. A vulnerabilidade foi corrigida pelos desenvolvedores.
Os sistemas operacionais baseados em Linux são conhecidos por serem mais seguros, principalmente por serem open source, ou seja, com código aberto para quem deseja verificar sua integridade ou funcionamento. Além disso, são atualizados com frequência e, em alguns casos, já são desenvolvidos com a segurança em mente.
No entanto, “algumas semanas atrás, meus filhos queriam hackear meu desktop Linux, então eles digitaram e clicaram em qualquer lugar, enquanto eu estava parado atrás deles, vendo-os jogar”.
Quando as crianças conseguiram burlar o protetor de tela, o pai, identificado apenas como “robo2bobo” no GitHub, não acreditou no que acabara de ver. “Achei que fosse um incidente único, mas eles conseguiram fazer isso uma segunda vez […] Eu vi a tela travar duas vezes com meus próprios olhos, então é muito real”, escreve ele.
“Tentei recriar a fechadura sozinha, sem sucesso, talvez porque exigisse mais do que 4 mãozinhas digitando e usando o mouse no teclado virtual”.
O pai explica que depois que a área de trabalho é desbloqueada, não é possível bloqueá-la novamente. “O processo de proteção de tela está praticamente morto e exige que eu abra um shell e execute o protetor de tela canela manualmente para que funcione”, explica ele.
Para explorar esta vulnerabilidade, era necessário ter um computador rodando Linux Mint com interface de usuário Cinnamon, travar o sistema, clicar no teclado virtual e digitar o máximo de teclas possível no teclado tradicional.
Patches atualizados foram publicados nos comentários do relatório. Foto: GitHub.
Correção
Clement Lefebvre, responsável pelo Linux Mint, confirmou que a vulnerabilidade existia em um processo chamado libcaribou. O problema foi corrigido com o lançamento dos patches Mint 19.xe Mint 20.x publicados nesta quarta-feira (13).
“Em todas as versões do Cinnamon, o teclado na tela (iniciado a partir do menu) funciona dentro do processo Cinnamon e usa libcaribou, pressionando ē bloqueia o sistema. No Cinnamon versões 4.2 e superiores, existe um OSK [teclado na tela] libcaribou no protetor de tela, pressionando ē bloqueia o protetor de tela”, explica o desenvolvedor do sistema.
O desenvolvedor explica que a equipe está trabalhando para adicionar a capacidade de ligar ou desligar o teclado na tela, o que pode evitar vulnerabilidades futuras desse tipo.
Patches atualizados foram publicados nos comentários do relatório. Foto: GitHub.
