Artikel:
https://fosspost.org/analytics/privacy-security-concern-regarding-gnome-softwareVeel Linux distributies (waaronder Ubuntu) gebruiken Gnome Software voor het beheer van software op desktops. Gnome Software gebruikt “fwupd” voor het automatisch aanbrengen van firmware-updates (LVFS).
PrivacyHet programma fwupd maakt automatisch verbinding met de website fwupd.org om firmware-updates te downloaden. Ook stuurt fwupd informatie naar fwupd.org (IP adres, /etc/machine-id (hashed), naam Linux distributie, versienummer). Volgens de privacybepaling (
fwupd.org/privacy) wordt informatie gedeeld met hardware leveranciers. Dit zullen veel gebruikers niet weten.
De website fwupd.org is van de ontwikkelaar – niet van een organisatie of bedrijf.
SecurityLeveranciers van hardware kunnen een
e-mail sturen aan de ontwikkelaar om een account te krijgen op de site fwupd.org. De leverancier kan dan firmware-updates uploaden (als binair .cab bestand).
Gnome Software (fwupd) kan het .cab bestand downloaden en automatisch installeren in de hardware (bij een herstart van de computer). De hardware leverancier is verantwoordelijk voor de kwaliteit van de updates en het is onduidelijk wie de .cab bestanden verder nog controleert.
De beveiliging van de site fwupd.org is van groot belang omdat hier
dagelijks vele duizenden desktops informatie mee uitwisselen.
OplossingenHet artikel stelt als mogelijke oplossing voor:
1. Koppel fwupd los van Gnome Software om te voorkomen dat er ongemerkt gegevens worden uitgewisseld met fwupd.org en automatisch firmware-updates kunnen worden geïnstalleerd.
2. Laat gebruikers van Gnome Software zelf bepalen (opt-in) of ze fwupd willen gebruiken voor firmware-updates (iemand zou er bijvoorbeeld voor kunnen kiezen firmware-updates met Windows of FreeDOS te installeren).
3. Maak duidelijk aan gebruikers (dialoogscherm) die fwupd willen gebruiken welke informatie wordt verzameld en waarom.
4. Laat de website fwupd.org door een organisatie of bedrijf beheren en niet door een ontwikkelaar.
Ik kan mij wel vinden in de voorgestelde oplossingen en zie dat als een goede verbetering.