Сегодня утром один из пользователей сообщества Ubuntu заметил странное приложение в магазине App Sotre, которое изменяло загрузочный экран Ubuntu. Это было реализовано через ранее неизвестную уязвимость которая позволяет злоумышленнику удаленный получить root доступ к смартфону.
Разработчики из Canonical оперативно отреагировали на сообщение об уязвимости и в течение нескольких часов наши и устранили проблему. Быстрое закрытие таких уязвимостей очень важно, так как такое приложения могло бы наносить более серьезный вред.
Как стало известно, приложение использует баг в системе установки приложений. После нажатия кнопки “Tap me” в приложении, создается скрипт модифицирующий экран загрузки и получающий права суперпользователя. Эта уязвимость работает только на Ubuntu Phone, пользователям с Ubuntu на персональном компьютере, серверах и облаках она не грозит.
Разработчики Ubuntu говорят, что безопасность является их главной целью, и до сих пор они не имели дела с такими серьезными проблемами. Приложения были их гордостью, но как выяснилось они не работают. Да они быстро обнаружили проблему и исправили ее, но это может произойти снова или, по крайней мере, теперь люди будут пытаться обойти систему защиты.
В Ubuntu App Store есть ряд инструментов для защиты от подобных ситуаций, но злоумышленник сумел их обойти. Ошибки в магазине также были исправлены и теперь разработчикам нужно внимательно пересмотреть код, чтобы понять где могут скрываться другие подобные ошибки.