“熊孩子”乱敲键盘就攻破了 Linux 桌面,大神:17 年前我就警告过你们

转自:量子位(ID:QbitAI)

Linux系统,居然被两个不懂任何技术的小孩“攻破”了。

他们只是在键盘和屏幕上一通乱按,就轻松绕过密码,进入了被锁定的Linux系统桌面。

最近,一位程序员父亲就这样,眼睁睁地看着自己的电脑被孩子“玩坏”。

作为一名程序员,他首先想到的不是打骂孩子,而是——如何复现漏洞

他发现这个漏洞确实是孩子乱按导致的,在某些特殊按键组合下,Linux的屏幕锁定进程会崩溃,从而绕过了密码。

也就是说,只要有人知道了这个漏洞,无需密码就可以偷偷打开别人已经锁定的Linux电脑。

他将情况反馈到官方GitHub上,最终这个奇怪的漏洞上周被正式修复了。

但这并不能让程序员们放心,这些年因Linux桌面进程崩溃导致的安全漏洞层出不穷,屡见不鲜,你永远不知道下一个bug会是什么。

孩子们“乱杀”的桌面系统漏洞

这两个小孩,是怎么“发现”这一漏洞的呢?

这位程序员父亲将自己的电脑锁定后,孩子们试图解锁它,就开始在电脑键盘上瞎打。

 大致是这个画风

突然,屏保界面消失,孩子们成功进入了Linux系统。

什么?连密码都没有输入?

他让他们再演示一次。这次,孩子们同样做到了,但依旧只是“乱敲”键盘而已。

太奇怪了。

他在两个小孩离开后,自己又悄悄地试了一下,没能成功。

不过他认为,这肯定是个漏洞,因为已经亲眼见过两次了。

这位程序员父亲所用的桌面系统是Cinnamon(Linux桌面环境之一),他推测,Cinnamon是不是有什么奇怪的bug,在不输入密码的情况下也能解锁桌面。

当天晚上10点半,他在Linux Mint的GitHub页面上反馈了这一bug,并描述了孩子们敲击键盘的场景:

他们同时按下了物理键盘和屏幕虚拟键盘,而且,尽量多按一些虚拟键盘。

消息一出,马上就有网友表示,自己同样遇到了这种问题,而且用的桌面系统也是Cinnamon。

随后,Linux Mint程序员火速赶往现场。

检查后发现,这的确是一个bug,而且Cinnamon 4.2以上的桌面系统,都会受到影响,因为这一版开始支持屏幕虚拟键盘了。

导致这个bug的具体行为是:长按“e”键,并在虚拟键盘上选中“ē”

现在,Linux Mint已经为这个漏洞推出了一个新补丁,不过需要自己手动安装。

人生苦短,不如用KDE(手动狗头)。

大神:17年前我就警告过他们

对于如此荒谬而简单的漏洞,自然引起各路程序员对Linux桌面的吐槽。

关于这个问题的GitHub issue页面都被程序员们玩坏了。

有人说:这个CVE应该归功于孩子们…

还有人在回帖中发个表情包:我想程序员们应该会这样复现bug。

但要论吐槽最狠的,还是著名程序员大神jwz

今天凌晨,这位大神又双叒叕发了一篇文章来吐槽此事,标题是《我已经告诉过你们之2021版》

因为早在17年前,他就警告过Cinnamon和GNOME官方:

如果没有在Linux上运行XScreenSaver,那么可以你的屏幕就相当于没有锁定。

之后每隔几年,jwz都会出来把这段话再说一遍。

jwz还调侃说:“翻车”一次是偶然,两次是巧合,三次是敌人的破坏,四次是GNOME官方。

而这四次安全漏洞,jwz都有详细的记录:

  • CVE-2019-3010,从Oracle Solaris屏幕保护程序可以获得特殊权限升级;

  • CVE-2014-1949, MDVSA-2015:162:在Cinnamon屏幕保护程序中按菜单键,再按ESC键,就可以进入shell;

  • 按住向下键,解锁Cinnamon屏幕保护程序;

  • 按住回车键,解锁GNOME屏幕保护程序。

修bug引发的新漏洞

导致Linux Mint漏洞是由于3月前修复另一个bug引起的。

这个漏洞存在于Linux显示服务xorg-x11-server中,其最大威胁是对数据机密性和完整性以及系统可用性的威胁。

更让人哭笑不得的是,Ubuntu 20.04在向后移植xorg的时候,由于使用了没有该bug的1.20.9版,反而逃过一劫。

当Ubuntu的开发人员意识到没有打上CVE-2020-25712补丁后,他们又中了新的漏洞。

结果就是,xorg更新修复以后,任何人都可以让屏幕锁定程序崩溃,然后进入桌面。

无独有偶,这不禁让人想起GNOME两个月前的另一个“低级”漏洞。

这个锅该让GNOME来背吗?jwz认为,归根结底是因为现在的Linux图形化界面根基X11存在着不可修复的严重问题:

1、锁定和身份验证是操作系统级别的问题。

尽管X11是Linux计算机操作系统的核心,但它的设计没有安全性可言,锁定程序必须以普通的、非特权的用户级应用程序一样运行。

2、X11体系结构的这一错误永远无法修复。

X11太旧、太僵化,并且有太多利益相关者无法对它进行任何有意义的更改。这就是为什么人们不断尝试替换X11的原因并失败了,因为它根深蒂固。

虽然现在有Wayland作为X11的替代品,但仍有网友替换为Wayland后,Ubuntu桌面依然存在某些缺陷。

比如唤醒电脑后,会在原来的桌面停留10~20秒才能进入锁屏状态,这个过程中桌面的隐私会一览无余。

鉴于Linux桌面的安全性问题漏洞百出,为了防止未被发现漏洞遭利用,有用户建议先安装XSecureLock,多上一把锁。

我热切期待着听到他们如何解决这个问题。

jwz在自己的博客里如是说。

参考链接:
https://github.com/linuxmint/cinnamon-screensaver/issues/354
https://www.zdnet.com/article/linux-mint-fixes-screensaver-bypass-discovered-by-two-kids/
https://web./web/20210116101222/https://www.jwz.org/blog/2021/01/i-told-you-so-2021-edition/

- EOF -

(0)

相关推荐

  • 东方联盟:Linux 系统的 15 大漏洞

    近 1400 万个基于 Linux 的系统直接暴露在互联网上,使它们成为一系列现实世界攻击的有利目标,这些攻击可能会导致部署恶意 Web 外壳.硬币挖掘器.勒索软件和其他木马. 这是根据知名网络安全组 ...

  • Debian10安装桌面亲测有效

    在Debian 10上安装桌面环境 如果在安装过程中没有选择桌面,只是安装了标准系统 Debian提供了一个命令行工具(tasksel)来简化桌面环境的安装,只需运行如下命令即可: $ sudo ta ...

  • 雷区 | 你敲键盘的样子真丑

    榆林市佳县的年轻人张学仁,初中毕业后,勉强上了当地一所中专,但因经常旷课,结果挂科太多被迫退学.他打了几份工,都因嫌弃工资太低辞职了.无事可做的张学仁,整天混迹于各种网络社交平台,在谁也不认识谁的虚拟 ...

  • 你敲键盘的声音,可能会引发猫主子的癫痫症|科学60秒

    健身时别人的加油打气,可能会削弱你的运动能力 和小伙伴一起锻炼会让人动力满满,但前提是你的健身搭档能"安静如鸡",这一结论来自<医学互联网研究杂志>(Journal o ...

  • 散文天地‖​从爬格子到敲键盘 文/沈宏胜

    从爬格子到敲键盘(原创)          沈宏胜 从爬格子到敲键盘,不仅见证了时代发展变迁,而且看到了人们生活的改善与提高,看到了信息化发展给人们带来的效率与温馨的服务.看到了人与人之间交流的快捷. ...

  • 万字详文干货:从无盘启动volumio看Linux启动原理

    作者:bobyzhang,腾讯 IEG 运营开发工程师 0. 故事的开始 0.1 为什么和做什么 最近家里买了对音响,我需要一个数字播放器.一凡研究后我看上了 volumio(https://volu ...

  • 下厨房、敲键盘、开车竟然可能引发肩周炎?3招帮你预防

    老师们每天在黑板上写写画画:妈妈们每天按时出现在厨房做饭:上班族每天在电脑前敲敲打打......殊不知这些我们再熟悉不过的动作竟然会有引发肩周炎的隐患! 有什么办法能够预防肩周炎呢?别急,小编带您健康 ...

  • 【图文】好文笔,不是从写字敲键盘开始,而是从······

    一些自媒体作者留言询问写文章何来好文笔,或说如何练就好文笔,还有言辞恳切的表示愿意接受指导,也有意在寻求捷径者. 多写内容健康,文风好,文笔优美的好文章,为自媒体平台锦上添花,为其良性发展可持续发展尽 ...

  • 如何hold住家里熊孩子?一盘蛋白糖轻松搞定!

         2020年这个假期,注定是难忘的!医生变战士,老师变主播...... 疫情在家,不给国家添负担.响应号召停课不停学,很多学生昨天开始上网课了,出现的各种爆笑场面,也是让人哭笑不得: 可爱的班 ...

  • 【歪歌社团原创作品】颤抖指尖敲键盘《只为相思网络缘》

    视频欣赏 文本赏析 说网缘 又把那心事添 胜过那幼稚和初恋 颤抖指尖敲键盘哪 激荡的狂涛 多想陪在你身边 啊依呀依子哟 寂静夜 深情呦灯火珊 月光似水飘窗前 网络连着尽思念哪 不需要海誓 彼此心灵一线 ...

  • 中国正在下一盘大棋,碳中和能源大三角,深谋远虑!

    中国的"碳中和"战略实际上是在建立一个"新能源大三角".这个三角同样由生产.运输.消费三个环节构成.如果这个三角能转起来就能形成规模效应. 先说生产端.碳中和计 ...