En popüler Linux dağıtımı olan Ubuntu, Ukraynaca çevirilerinin nefret söylemi içerdiğinin ortaya çıkmasının ardından Masaüstü sürümü 23.10’u geri çekti.
Ubuntu projesine göre, Ubuntu Arşivi dışında yaşayan bir “üçüncü taraf aracı” aracılığıyla dağıtıma enjekte edilen Yahudi karşıtı, homofobik ve yabancı düşmanı hakaretlerin arkasında kötü niyetli bir katkıda bulunan var.
Ukraynaca çeviriler ‘aşağılayıcı’ dizelerle süslenmiş
Bu hafta Ubuntu, Ukrayna sürümünde gömülü olan aşağılayıcı dizeleri tespit ettikten sonra Masaüstü yükleyicisi 23.10’u kaldırdı.
“Ubuntu Arşivi dışındaki üçüncü taraf bir aracın parçası olarak gönderdiğimiz bazı çevirilerimizde, kötü niyetli bir katılımcının nefret söylemini tespit ettik.” duyuruldu proje.
“Ubuntu 23.10 görüntüsü kaldırıldı ve doğru çeviriler geri yüklendikten sonra yeni bir sürüm kullanıma sunulacak.”
Ubuntu ekibi, topluluk forumunda ayrıca, kötü niyetli Ukraynaca çevirilerin, topluluk katılımcısı tarafından, dil desteği sağlamak için Ubuntu Masaüstü Yükleyicisi tarafından güvenilen “kamuya açık, üçüncü taraf çevrimiçi bir hizmete” gönderildiğini açıkladı.
“Ubuntu 23.10’un yayınlanmasından yaklaşık üç saat sonra bu gerçek dikkatimize sunuldu ve etkilenen görselleri hemen kaldırdık.
İlk önceliklendirme tamamlandıktan sonra, olayın yalnızca Canlı CD ortamı aracılığıyla kurulum sırasında kullanıcıya sunulan çevirileri (yükseltmeyi değil) etkilediğine inanıyoruz. Kurulum sırasında çeviriler yalnızca bellekte kalır ve diske yayılmaz. Önceki bir sürümden Ubuntu Desktop 23.10’a yükseltme yaptıysanız bu sorundan etkilenmezsiniz.
Etkilenen görüntüler Ubuntu Desktop 23.10 ve Ubuntu Budgie 23.10’du.
Ubuntu Masaüstü Eski ISO hâlâ mevcuttur ve etkilenmemiştir.
Çevirilerin, uygulamaların uluslararası hale getirilmesini destekleyen veri dosyaları olduğunu lütfen unutmayın. Bu dosyalar, dünyanın her yerindeki bireylerin katkılarıyla üçüncü taraf çevrimiçi sistemlerin desteğiyle güncellenir ve daha sonra Ubuntu’ya entegre edilir. Bu işbirliği yolunun baltalanması ve bir toplumsal saldırganlık mekanizması olarak kullanılması talihsiz bir durumdur. Canonical ve Ubuntu, davranış kurallarımız 21 uyarınca, hiçbir türde nefret söylemini veya saldırgan dili tasvip etmez.”
Reddit kullanıcıları tarafından tespit edilen bir GitHub çekme isteği [1, 2] ve BleepingComputer tarafından görülen “aşağılayıcı” ifadeyi kaldırdı [localization] dizeleri” 12 Ekim civarında.
BleepingComputer, şifreli, kötü niyetli Ukraynaca dizelerin “Danilo Negrilo” adlı bir kullanıcı tarafından çeviri dosyasının sonuna doğru enjekte edildiğini ve bunların fark edilmesini zorlaştırdığını gözlemledi.
Her ne kadar kötü niyetli çeviriler Orta Doğu’da gerilimin arttığı bir dönemde keşfedilmiş olsa da, taahhüt tarihi sabotajın İsrail-Hamas savaşının yürürlüğe girmesinden önce 22 Eylül civarında gerçekleştiğini doğruluyor.
Kötü amaçlı yazılım eklemeyle ilgili endişeler
Bu olayın etkisinin çevirilerle sınırlı kaldığı göz önüne alındığında, kullanıcılar, benzer şekilde bağımlılıklar yoluyla gelecekteki Ubuntu sürümlerine kötü amaçlı yazılımların enjekte edilebileceği olasılığı konusunda endişelerini dile getirdi.
“Ubuntu’ya güveniyorum çünkü en yaygın kullanılanıdır, dolayısıyla en iyi inceleme ekibine sahip olmalıdır, ancak bu çevirilerde olduysa ve kimse görmediyse, kötü amaçlı yazılım enjekte edilmiş bağımlılıkları düşünün.” gönderildi X’teki (eski adıyla Twitter) bir kullanıcı. “Sanırım kimse hiçbir şeyi gözden geçirmiyor.”
“Eğer bu doğruysa bu, dağıtımınızın İngilizce olmayan sürümlerinin beta testini yapmadığınız anlamına gelir.” söz konusu bir diğeri.
“Kötü niyetli aktörlerin kötü amaçlı yazılım gönderme olasılığı çok büyük. Bu, aşılması gereken bir şey. Siz temel işletim sistemi değilsiniz. Siz büyük bir şirketsiniz ve bu olmamalıdır.”
Bununla birlikte, farklı dillerde gönderilen çevirilerin incelenmesinin (geliştiricilerin kendileri bu dillerde yeterli olmadığı sürece), düzenli bir kod güvenliği denetiminin tasarlanamayacağı çok daha zorlu bir görev olduğunu belirtmekte fayda var.
Ayrıca bağımlılıklar, kod ve açık kaynak bileşenleri, kötü amaçlı yazılımları engellemeyi amaçlayan çeviriler için uygun olandan ayrı bir doğrulama sürecinden geçebilir ve bu gibi olayların keşfedilmesini zorlaştırır.
Ubuntu artık Ukraynaca çevirilerini “sabote edilmeden önceki durumuna” geri yükledi, ancak ek zaman harcamak “resmi olarak kullanıma sunulmadan önce daha geniş bir denetim” konusunda.
Bu arada kullanıcılara, olaydan etkilenmeyen Eski yükleyici ISO’yu kullanarak Ubuntu indirme sayfasından Ubuntu Desktop 23.10’u indirmeleri tavsiye ediliyor. Alternatif olarak kullanıcılar daha önce desteklenen bir Ubutnu sürümünden yükseltme yapabilirler.