В инструментарии iVentoy, применяемом для загрузки и установки по сети произвольных операционных систем, выявлена подозрительная активность. При загрузке по сети ОС Windows инструментарий осуществлял подстановку в систему бинарного драйвера httpdisk.sys и установку в системное хранилище корневых сертификатов своего самоподписанного сертификата, применяемого для заверения драйвера цифровой подписью. 31 из 70 антивирусных пакетов, в которых был проверен файл httpdisk.sys, выдали предупреждение о наличии вредоносного ПО.
Подобная активность была воспринята как потенциальная попытка продвижения бэкдора и подняла вопрос доверия к открытому проекту Ventoy. Ситуацию усугубляло, то что в прошлом году после инцидента с бэкдором в проекте XZ сообщество уже обращало внимание на поставку подозрительных блобов в дереве исходных текстов Ventoy.
Разработчики NixOS предложили заменить Ventoy в репозитории nixpkgs на форк fnr1r (как альтернатива также может рассматриваться glim). Проекты Ventoy и iVentoy развиваются одним автором и имеют похожее назначение. Отличия в том, что Ventoy полностью открыт и нацелен на загрузку операционных систем с USB-носителей, а iVentoy является лишь частично открытым и предназначен для загрузки по сети с использованием технологии PXE.
К обсуждению проблемы подключился автор проектов Ventoy и iVentoy, который пояснил, что код драйвера httpdisk.sys является открытым, а сам драйвер предназначен для монтирования в Windows дисковых образов по сети поверх протокола HTTP, что используется в iVentoy для получения с сервера установочных данных Windows. Подстановка драйверов и скриптов в систему после загрузки является документированным поведением.
Собственный сертификат, при помощи которого был подписан данный драйвер, был добавлен в хранилище корневых сертификатов для того, чтобы обеспечить загрузку драйвера в обход применяемой в Windows системы верификации программ по цифровой подписи. Сертификат подставлялся только в одноразовое окружение WinPE (Windows Preinstallation Environment), создаваемое в оперативной памяти. В размещаемые на диске стационарные установки Windows изменения не вносились. Заявлено, что в следующем выпуске iVentoy подстановка своего сертификата будет прекращена, так как для обеспечения загрузки драйвера будет использован запуск WinPE в тестовом режиме.
По поводу поставки блобов (1, 2, 3) в Ventoy разработчик заявил, что эти бинарные файлы напрямую получены из других открытых проектов и
Ventoy использует их без внесения изменений. Готовые исполняемые файлы применяются в процессе настройки запускаемых систем. В качестве альтернативного варианта предлагается не брать готовые сборки, а собирать их для релизов Ventoy самостоятельно при помощи GitHub CI.