Al configurar un sistema operativo, o una aplicación de software, algunas veces tenemos la opción de cambiar su aspecto mediante algunos temas disponibles. Y puede ser una de las primeras cosas que hagamos, sin pararnos mucho a pensar en las consecuencias.
Después de todo, si elegimos el tema incorrecto, aparte de que puede resultar ser horroroso, no va a pasar nada peligroso, como por ejemplo eliminar silenciosamente todos los archivos del ordenador, ¿verdad?
Desafortunadamente, eso es exactamente lo que le sucedió el mes pasado a un usuario de openSUSE, mientras probaba un tema de la tienda de KDE.
Según su publicación en Reddit, poco después de instalar el tema «Gray Layout» para el popular entorno gráfico de Linux, el sistema comenzó a comportarse de manera extraña.
Inmediatamente se dio cuenta de que algo iba mal, pero para todos sus archivos personales ubicados en el directorio de inicio, ya era demasiado tarde.
Lo que hacía el tema era ejecutar el temido comando «rm -rf», que elimina todo lo que se le pone por delante.
En cualquier caso, un tema no debería ser responsable de nada más que cambiar algunos colores y, tal vez, modificar un poco el estilo de las barras de herramientas.
Entonces, ¿por qué un tema gráfico estaba ejecutando código?
Estos llamados «Temas Globales» en realidad tienen la capacidad de cambiar prácticamente toda la experiencia de escritorio.
Esto implica la instalación de nuevos componentes de software y la ejecución de scripts.
Si mezclamos eso, con la capacidad de los usuarios de crear y cargar sus propios temas en la tienda de KDE, para que los descarguen otros, tendremos una receta para generar problemas.
Seguridad no garantizada
En respuesta a la discusión de Reddit, la cuenta oficial de KDE en Mastodon hizo una publicación que básicamente decía que no asumían ninguna responsabilidad por el problema.
Después de señalar que los Temas Globales son creados por la comunidad, continuaban explicando que, por diseño, son capaces de ejecutar código arbitrario sin previo aviso.
Dadas las implicaciones de seguridad que esto conlleva, el equipo de KDE recomienda a los usuarios "extremar las precauciones" al descargar dicho contenido de la Tienda.
Unos minutos más tarde, la cuenta hizo otra publicación animando a los usuarios a usar el botón «Informar» en la Tienda KDE para que pudieran «localizar y poner en cuarentena el software defectuoso» lo más rápido posible.
La deducción es clara: no tienen los recursos ni los métodos para examinar el contenido desarrollado por la comunidad a medida que llega, por lo que los usuarios, tendrán que hacer de conejillos de indias.
Conclusión
Una vez que permites que cualquiera suba lo que le dé la gana a un repositorio, es solo cuestión de tiempo que alguien abuse del sistema.
El verdadero problema es que nadie espera que un tema pueda ejecutar código en su máquina y, en consecuencia, no se acercan a ellos con la misma precaución que lo harían con los paquetes de software.
Francamente, todo esto nos parece bastante inquietante.
No somos nadie para decirle a la gente qué hacer con sus máquinas, pero, probablemente, nosotros nos mantendríamos muy alejados de cualquier tema global de KDE.
Nuestra parte más conspiranoica piensa que alguien, con malas intenciones, podría aprovechar este descontrol, para explotar uno de los sistemas operativos más seguros del mundo.