In den Systemeinstellungen von KDE Plasma unter Globales Design lädt ein Button unten links (bei Plasma 6 rechts oben) mit der Aufschrift Neue globale Designs holen dazu ein, das Design von Plasma mit einem neuen Theme aus dem KDE Store anzupassen. Diese Themes werden nicht von KDE, sondern von einer dritten Quelle bereitgestellt. Auf Reddit hat ein Anwender jetzt berichtet, dass nach der Installation des Themes Grey Layout ohne weiteres Zutun alle als User eingehängten Festplatten gelöscht wurden. Das Theme wurde inzwischen entfernt.
Ein globales Theme kann benutzerdefinierte Sperrbildschirme, benutzerdefinierte Applets und benutzerdefinierte Einstellungen enthalten, und all diese können Code ausführen. Das kann nicht eingeschränkt werden, ohne die Funktionalität einzuschränken.
Ausführbare Inhalte in Themes
Das beanstandete Global Theme enthält gleich mehrere Plasmoids und hatte somit Zugriff auf Ressourcen der Installation und kann dort Befehle und Scripte ausführen. Somit ist es als bedenklich anzusehen, dass die Systemeinstellungen in Plasma auf unsichere, nicht überprüfte Erweiterungen auf einer externen Webseite verweisen, auch wenn vor dem Download eine entsprechende Warnung angezeigt wird.
Keine böse Absicht erkennbar
Der Code des Themes gab keinen Anlass auf bösartige Absichten des Entwicklers. Derzeit gehen die Spekulationen dahin, dass das für Plasma 5 erstellte Theme unter Plasma 6 einen abweichenden Pfad verfolgt und es somit zum Datenverlust kommen konnte.
Falsche Erwartungen verhindern
KDE-Entwickler David Edmundson hat den Fall in seinem Blog aufgegriffen. Er sieht ein Problem darin, dass Begriffe wie Globales Design oder Plasma-Applets nicht transportieren, dass hier nicht überprüfter Code von Drittanbietern zum Einsatz kommt und somit beim Anwender falsche Erwartungen an die Sicherheit erweckt werden können.
Kurzfristig müssen wir klar kommunizieren, welche Sicherheitserwartungen Plasma-Benutzer an Erweiterungen haben sollten, die sie auf ihre Desktops herunterladen. Applets, Skripte und Dienste sind als Programme leicht als potenzielle Risiken zu erkennen. Es ist schwieriger zu erkennen, dass Plasma-Themes, Wallpaper-Plugins und Kwin-Skripte nicht nur passive Grafiken und Daten sind, sondern möglicherweise auch Skripte enthalten, die unbeabsichtigte oder böswillige Folgen haben können.
David Edmundson, KDE
Kuratierung wie bei Flathub
Langfristig empfiehlt Edmundson eine ähnliche Kuratierung, wie sie kürzlich auf Flathub eingeführt wurde. Neben verbessertem Sandboxing sollen unsichere Angebote, die scriptfähige Inhalte enthalten, von solchen, die lediglich inaktive Inhalte und Metadaten enthalten, erkennbar getrennt werden.
Das ist natürlich katastrophal.
Ich hoffe, man findet eine Lösung, um das in Zukunft zu verhindern – insbesondere wenn es offenbar keine böse Absicht war.
Ich meine, wer in böser Absicht über irgendwelche Exploits anderer Leute Systeme schädigt, ist halt kriminell. Gibt’s leider immer und überall.
Aber versehentlich durch sowas – vermeintlich – Harmloses wie ein Theme zu installieren solche Schäden zu verursachen, ist halt etwas, das nicht passieren können sollte. Egal ob KDE, Gnome, XFCE oder Enlightenment…
🙂 es reicht eigentlich schon wenn Du ein Bild anschaust auf Deinem Rechner.
Und ein Patch wird es mit Sicherheit zeitnah geben. Im Gegensatz zu Gnome,wo man durch Extensions sein System zerschießt und der jeweilige Entwickler sich ein Dreck drum schert.^^
Ich dachte immer, dass nur der MM der Schelm wäre, aber da haben wir ja noch einen.
Ich könnte ja analog sagen: Typisch KDE, aber so bin ich nicht als Debian User mit GNOME😁 nicht.
Ich denke, dass so etwas überall, auch unter GNOME, passieren könnte und wie geil wäre das, wenn sich alle eine coole Lösung dafür einfallen lassen würden.
@Charon: Eine gewagte Behauptung mit den Extensions die ich ziemlich haltlos finde und nicht bestätigen kann.
Sicherlich wird es auch Einzelschicksale geben. So wie überall
Hört doch mal endlich damit auf “Schei…GNOME”, ” Schei…KDE “, ” Schei…irgendwas”!
Das gibt eine Schei… Außenwirkung und ist total kindisch. Mehr miteinander ist gefragt.
Denkt mal drüber nach bevor ihr wieder ein schei… Kommentar ablasst.
Brauchst du ein Taschentuch? Bringe dir gerne eins.
Kindisch und nichts verstanden. So wird das nix!
Genau das habe ich vor einiger Zeit auch hier geschrieben, aber es gibt leider Menschen, die Beratungsresistenz sind. Bedauerlicherweise!
Selber Schelm!
Interessant, dass bei Themes installieren alles mögliche passieren kann. 🥳
Interessant, was alles so während einer Entwicklung eines Menschen passieren kann.
https://medlexi.de/Aufmerksamkeitsst%C3%B6rungen