No es muy habitual ver cómo se desactiva una función de seguridad en un elemento de un sistema operativo. Sin embargo, esto es con lo que se han encontrado los usuarios de Ubuntu y CentOS. Desde estas distros, han tomado la decisión de desactivar la sandbox Bubblewrap, desarrollada por el equipo de GNOME. Pero, ¿cuál o cuáles han sido los motivos que han llevado al equipo de estas dos distros a suspender temporalmente esta función?

Lo más llamativo, tal vez sea que está función está presente en el escritorio desde el mes de julio del pasado año. Esto ha provocado que pocos hayan entendido el motivo para desactivar esta función más de un año después desde su inclusión. Para ser más precisos, se lanzó en la versión 3.26 de GNOME.

Antes de entrar a valorar su desactivación, vamos a describir cuál es su verdadera función. Desde hace tiempo, en GNOME existe una función para crear thumbnails o vistas previas. O lo que es lo mismo, vistas previas de imágenes cuando se está utilizando el explorador del sistema de ficheros.

¿Por qué incluir una sandbox relacionada con estos scripts? La tecnología evoluciona y, por desgracia, los ataques perpetrados por los ciberdelincuentes también. En algunas ocasiones, incluso son capaces de ir por delante de las soluciones de seguridad de grandes empresas. Los responsables de GNOMe, detectaron que estos scripts que generan las previsualizaciones o miniaturas en el explorador de ficheros, son susceptibles de verse afectados por ataques. O lo que es lo mismo, “engañar” a estos scripts para hacer creer que un ejecutable es un fichero de imagen y lo procese, realizando la ejecución del código existente en el interior y pudiendo poner en peligro al sistema operativo y la información almacenada en él.

Por este motivo, se creo esta sandbox, permitiendo aislar cualquier ejecución de código que se realice durante el procesado de imágenes para generar vistas previas.

Ubuntu y CentOS desactivan Bubblewrap

Tal y como se ha observado, se trata de algo necesario y que si se habla a nivel de seguridad es importante, impidiendo que los ciberdelincuentes sean capaces de ejecutar código de forma no autorizada.

Sin embargo, dos de las distros que, podemos considerar más importantes, han tomado la decisión de suprimir temporalmente esta función. En el caso de Ubuntu, la actualización a la última versión implica que se realice la supresión de esta función. En el caso de CentOS, todas las versiones 7.X no cuentan con esta función activada.

Motivos para realizar su desactivación

Tal y como hemos indicado, se trata de algo que ha sorprendido a muchos expertos, sobre todo, porque es una función con solera, disponible desde hace más de un año.

En el caso de CentOS no se ha vertido excesiva información, por lo que estaríamos hablando de conjeturas. Por este motivo, preferimos centrarnos en la información ofrecida por Ubuntu.

Basándose en Spectre, una vulnerabilidad de sobra conocida por la mayoría de los lectores de RedesZone, indican que la complejidad del software y vulnerabilidades asociadas es grande. Bubblewrap se trata de una función que maneja funciones complejas (refiriéndose a la sandbox). Por este motivo, indican que la desactivación de la función se ha visto justificada por la ausencia de tiempo para realizar una validación minuciosa de esta función.

Muchos creen que existe un trasfondo más allá de una simple validación. Sin embargo, como no existe más información, debemos acogernos a esta información vertida.