Ubuntu-Sperrbildschirm verliert Tastatureingaben
Eine jetzt geschlossene Sicherheitslücke im Sperrbildschirm der Linux-Distribution Ubuntu könnte zur Folge haben, dass Nutzer ihr Passwort aus Versehen öffentlich im Internet bekanntgeben.
- Fabian A. Scherschel
Die Entwickler der beliebten Linux-Distribution Ubuntu haben eine Sicherheitslücke im Sperrbildschirm ihrer Desktop-Umgebung Unity geschlossen. Durch die Lücke war es unter bestimmten Umständen möglich, dass Nutzer beim Eingeben des Entsperrungs-Passworts dieses statt in die entsprechende Textbox in eine im Hintegrund laufende Anwendung eingeben. Das konnte dazu führen, dass das Passwort an Google übertragen oder im schlimmsten Fall in ein Chat-Fenster oder soziales Netzwerk getippt wurde. Unachtsame Nutzer könnten so ihr Passwort ungewollt veröffentlichen.
Der Bug geht auf eine Race Condition in der Unity-Version für Ubuntu 14.04 zurück. Unter bestimmten Umständen schafft es der Sperrbildschirm nicht, den Fokus der Tastatur zu erlangen. Der Login-Bildschirm erscheint zwar mit einem blinkenden Cursor im Eingabefeld, aber die eigentliche Eingabe kommt im Feld nicht an, sondern landet in einem im Hintergrund aktiven Fenster – zum Beispiel dem Browser. Fällt dem Nutzer dabei nicht auf, dass bei der Eingabe die charakteristischen Punkte für die einzelnen Stellen des Passworts nicht auftauchen und betätigt die Return-Taste, hat er unter Umständen gerade sein Passwort der Welt mitgeteilt. Angesichts der Tatsache, dass viele Nutzer ihr Passwort am Sperrbildschirm aus Macht der Gewohnheit quasi blind eingeben, ist das ein größeres Problem, als man zunächst vermuten würde.
Das Problem scheint besonders häufig aufzutreten, wenn man einen Laptop durch Schließen des Deckels zum Anzeigen des Sperrbildschirms bringt. Trotz der sporadischen Natur des Problems haben die Ubuntu-Entwickler die Lücke als kritisch eingestuft und innerhalb weniger Tage geschlossen. Ein aktualisiertes Unity-Paket ist bereits in den Repositories für Ubuntu 14.04 LTS und die in der Entwicklung befindlichen Version 14.10 vorhanden (Version 7.2.2+14.04.20140714-0ubuntu1.1 und 7.3.0+14.10.20140731.1-0ubuntu1).
Sicherheitslücken im Unity-Sperrbildschirm sind keine Seltenheit. Im Mai hatten die Entwickler bereits eine Reihe von Lücken ähnlicher Art geschlossen. Und auch danach gab es weitere Bugs, die ein Umgehen der Sicherung ermöglichten. Allerdings sind die Ubuntu-Leute nicht die einzigen Entwickler, die sich mit dieser Art Probleme herumschlagen müssen. So berichtete zum Beispiel KDE-Entwickler Martin Gräßlin auf Google+ als Reaktion auf frühere Unity-Bugs von ähnlichen Problemen bei der Entwicklung von KWin. (fab)
