Ubuntu屏幕鎖定有bug，任意密碼都能登錄系統

Ubuntu存在一個漏洞，讓任何可以實際操作計算機的人，都能繞過鎖定屏幕，輸入任意密碼登錄系統。用戶只要讓計算機進入待命模式（Suspend Mode），移除硬碟後再次喚醒系統，便能輸入任何密碼登錄系統，訪問前一位用戶的敏感信息。經網友測試這個bug同時發生在Ubuntu 14.04、16.04、16.10與17.04，而其他Ubuntu生態系統發布版像是Mate 18.04也在影響範圍內。

這個在Ubuntu Launchpad上，6月中被彙報的bug剛剛公開，bug的重現步驟非常簡單，用戶在打開一些應用程序後，讓系統進入待命模式，接著取下實體硬碟並再次喚醒系統，於鎖定畫面輸入任意密碼，便能成功訪問系統。假設發生訪問遭拒的狀況，也只要快速按下實體關機鍵，就能成功訪問系統，遇到黑畫面的情況，只要重複按下關機鍵，再次進到輸入密碼的鎖定畫面步驟都能解決。

該漏洞最先在Ubuntu 16.04.4長期支持桌面版本被測試出來，彙報者表示，他以應用程序Unity作為測試，即便移除了硬碟重新登錄系統，仍然可以順暢的接續先前的工作階段。而這也代表，惡意人士有辦法訪問前一名操作者使用過的敏感數據，這可能包含密碼管理器或是文件。彙報者同時也測試了其他版本的Ubuntu，發現14.04、16.04、16.10與17.04也都受影響，也有其他網友發現，Mate 18.04也存在這個bug，但是整體受影響的範圍目前仍不確定。

不過，Ubuntu安全工程師Marc Deslauriers似乎不認為這個bug有辦法解決，他提到，當惡意人士有辦法實體的訪問硬碟，那就表示他有辦法更換密碼並解鎖計算機。而這段話遭到網友反駁，認為這段話需要視條件成立，當這個bug也能在全加密的硬碟中重新實現，那代表這是一個極度嚴重的bug，因為能夠實體訪問硬碟，不代表有能力訪問加密硬碟上的數據。另外有網友提出主動的觀點，表示密碼錯誤就不應該讓操作者能夠登錄系統。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！