Um pesquisador de segurança descobriu que o Pacote Debian do Skype pode permitir que os atacantes acessem PC’s. Confira os detalhes desse problema.
- Como instalar o cliente SSH PuTTY no Linux via Flatpak
- PuTTY tem uma vulnerabilidade de alta prioridade
- Como instalar o ProFTPD no CentOS, Fedora, RHEL e derivados
O Debian criou o formato de pacotes deb e o consolidou com o uso de repositórios. Mesmo com seu gigantesco conjunto de repositórios próprios, ssurgiram vários repositórios de teceiros.
Apesar de úteis, os repositórios de terceiros nem sempre seguem todos os cuidados e precauções de segurança do Debian, que servem para garantir a entrega de softwares livres de ameaças.
Pacote Debian do Skype Pode Permitir Que Atacantes Acessem PC’s
Segundo o site Softpedia, o pesquisador de segurança Enrico Weigelt descobriu uma questão crítica de segurança na maneira como o Skype se instala em máquinas Debian Linux, adicionando o repositório APT da Microsoft no arquivo sources.list do sistema.
O pacote Debian do Skype usa um perfil de configuração do APT que insere automaticamente o repositório apt da Microsoft nas fontes padrão do pacote do sistema, o que permitiria que qualquer pessoa com acesso a ele, hipoteticamente, usasse ferramentas maliciosas para comprometer a máquina.
Em termos leigos, os repositórios APT são coleções de pacotes .deb usados como armazenamento central, gerenciamento e plataforma de entrega para todas as máquinas Linux baseadas no Debian.
Os repositórios do APT podem ser usados para instalar, remover ou atualizar aplicativos em uma máquina Debian com a ajuda do comando apt-get.
Depois de obter o controle do repositório apt da Microsoft, um invasor poderia injetar conteúdo malicioso em vários pacotes de distribuição usando o sistema de atualização, bem como substituir pacotes legítimos por códigos maliciosos.
A Microsoft ou um terceiro com acesso à chave privada de seu repositório pode assumir completamente o controle de qualquer máquina Debian em que o Skype esteja instalado.
Pior ainda, como notado por Seth Arnold da Canonical na lista de discussão Full Disclosure, porque instalar e desinstalar scripts para pacotes Debian rodam usando privilégios de root completos, os atacantes podem assumir completamente a máquina Debian afetada, se eles souberem o que estão fazendo.
O Weigelt adiciona uma solução de atenuação para a Microsoft implementar para eliminar o problema de segurança do pacote Skype Deiban, ou seja, a remoção do perfil de configuração apt do pacote .deb.
Os usuários também podem executar várias etapas para impedir que seus computadores sejam comprometidos após a instalação do Skype.
Como primeiro passo, você pode remover a entrada sources/list adicionada pelo Skype depois de instalá-lo no PC com Linux, você pode descompactá-lo e reempacotá-lo manualmente para garantir que o repositório apt da Microsoft não seja anexado ao sources.list.
Você também pode instalar o Skype em um contêiner confinado para limitar a quantidade de danos que ele pode causar usando o isolamento do nível de kernel do Linux Containers (LXC).
Em uma entrevista por e-mail, Weigelt disse o seguinte à Softpedia.
“Os pacotes não confiáveis são sempre um grande risco de segurança – eles não devem ser instalados seriamente em nenhum sistema relevante à segurança. A melhor opção, IMHO, é um contêiner cuidadosamente isolado (por exemplo, LXC ou Docker) – não permita que ele acesse seus dados privados e certifique-se de cortar o acesso ao microfone, quando não estiver realmente fazendo uma chamada pelo Skype.”
A vulnerabilidade descoberta pelo Weigelt foi adicionada pela primeira vez ao banco de dados de vulnerabilidades CXSECURITY e, em seguida, na lista de discussão Full Disclosure, e ainda não tem um número de identificação de vulnerabilidades e exposições comuns (CVE).