В оболочке Unity была обнаружена уязвимость, касающаяся конфиденциальности данных. А конкретно - в поисковом «движке» соцсети Reddit, который, как оказалось, передает незашифрованные по SSL-протоколу данные, используя «голый» HTTP.

Первым данную уязвимость обнаружил администратор Reddit с ником alienth, просматривая серверные логи. В них обнаружились фразы, которые пользователи набирали в Unity Dash. Администратор наткнулся на запротоколированные попытки установки ПО через apt-get и решил, что это какая-то неудавшаяся хакерская атака. Однако позже он обратил внимание на User Agent, сообщавший, что это оболочка Unity:

{unity-scope-reddit|www.reddit.com|}

Судя по всему, кто-то из пользователей-новичков Ubuntu попросту ввел команду для установки ПО в Dash вместо терминала.

На данный момент еще неизвестно, какие конкретно версии Ubuntu подвержены этой уязвимости.

Пользователи Ubuntu в опасности?

Данная уязвимость является критической, но не представляет особой опасности для рядовых пользователей. Reddit существует уже не первый год и зарекомендовал себя как крайне надежный ресурс, который вряд ли будет каким-либо образом использовать данные. Да и, к тому же, пользователей невозможно вычислить по данным запросам, так как ни IP, ни какие-либо другие идентификационные данные помимо самого запроса не передаются.

Однако эта брешь наверняка станет аргументом для ненавистников Unity и Ubuntu. Особенно если вспомнить прошлые демагогии про приватность и рекламные предложения от Amazon.

Разработчики планируют выпустить заплатку уже в начале этой недели. Однако они собираются не просто прикрыть уязвимость, но и запретить «движок» Reddit по умолчанию. Использовать его можно будет лишь принудительно (например, при помощи запросов «r:ubuntu» или «reddit:ubuntu») либо активировав соответствующую опцию.

Если вы хотите отключить «движок» Reddit уже сейчас, можете это сделать по данному руководству. Либо же отключить результаты поиска в Интернете полностью через Параметры системы - Защита и приватность - Поиск.

Источник