PINEPHONE MALWARE sorprende UTENTI, aumenta le preoccupazioni

May 4, 2022May 4, 2022 hpxerPINEPHONE MALWARE sorprende UTENTI, aumenta le preoccupazioni 0 Comment

Il 5 dicembre, qualcuno con il soprannome IRC di [ubuntu] aderito canale #pinephone del Pine64 Discordia con un ponte IRC. Nello spirito di dicembre tradizioni regali, hanno fornito i loro compagni di individui con una PinePhone utilizzando – un gioco “Snake”. Che [ubuntu] presumibilmente creato aveva il potenziale per finito per essere un magazzino, out-of-the-box-installata l’applicazione con quartiere un po ‘però devoto fan, modders e speedrunners.

Purtroppo, questo non sarebbe il mondo alternata che on-line in, così come non tutto andava bene con il fascio viene condivisa insieme ad una piacevole “hei gaiz Faccio GAEM serpente proprio qui è di collegamento www2-pinephnoe-giochi-com-tz sostituire cruscotto con dot kthxbai annuncio”. Incredibilmente, è stato un trojan! strati sottostanti di Base64, così come Bashfuscator avremmo incontriamo codice shell che potrebbe essere nella sezione “esempio di utilizzo” di una voce contemporanea thesaurus per la parola “yeet”.

La parte dannoso del codice non è avanzata – oltre offuscamento, la cosa più complessa a questo proposito è che è Bash, una lingua con illeggibilità cotto in causa dei privilegi di root forniti durante l’installazione del pacchetto, il ritrovamento a base equivalente contemporaneo di RM. -rf / * non ha difficoltà a fare il suo lavoro sporco di cancellare il file system pulita, l’esecuzione di un brandello su ogni dati in anticipo se offerto per contrastare il recupero dei dati. Per quanto riguarda il “cancellare il firmware del modem cellulare” parte ricompensa, sfrutta la CVE-2.021-31.698. tutto questo si sarebbe verificato il Mercoledì prossimo alle ore 20:00, a organizzare fatto da un cronjob systemd-backed.

[Ubuntu] non condividevano le fonti, solo i binari, confezionati per la semplice installazione su Arch Linux. uno dei famosi membri di quartiere PinePhone installati che binario, così come ha avuto il piacere di parte “gioco” di esso, chiedendo l’intenzione di rendere open-source – ottenere rassicurazione da [Ubuntu] che le fonti sarebbero stati rilasciati alla fine, “solo requisito per ripulirlo”. Alcuni non erano così sicuri, sostenendo che la gente non dovrebbe sudo installare questo-giochi casuali senza un collegamento repo codice sorgente. le persone erano in basso allerta, così come ci potrebbe essere stato il più circa un sacco installazioni prima di una attenta e intelligente membro scompattato il pacchetto così come le persone informate per Base64 sospette nello script .install, circa una mezza giornata dopo.

Come possiamo tradurre questo?

Questo è stato un su piccola scala ma di alta sforzo assalto distruttivo sugli utenti PinePhone, mira quelli che utilizzano Arch specificamente, tra l’altro. Il mittente del malware ha rivelato i loro “sforzi di avanzamento del gioco” prima della pubblicazione, è rimasto nel canale di fare un po ‘di chiacchiere e Q & A, così come in caso contrario non è stato rapidamente distinguibile da un designer tipica di pertinenza di benedire una potenziale piattaforma con il loro primo app. un sacco di di tutto, il gioco del serpente era estremamente più autentica – non è rimuovere se il codice potrebbe essere stato rubato da qualche progetto open-source, tuttavia non sarebbe distinguerlo da un gioco del serpente non dannoso. E ‘curioso che il pacchetto non sembra essere l’invio di dati personali a qualsiasi tipo di server (o crittografare i file, o ti costringono a godere annunci simili a giochi per cellulari contemporanei) – potrebbe rapidamente, tuttavia non è così.

Con la quantità di lavoro svolto sul PinePhone modem cellulare reverse-engineering, è singolare che il malware sfrutta le CVEs trovato insieme a quello sforzo. Non ci si aspetterebbe un virus normale telefono per tirare fuori un cellulare trucco modem in mattoni, a condizione che la frammentazione di Android mondo, così come l’offuscamento del mondo Apple. Stranamente, la comunità sviluppato firmware open-source per il modem cellulare Quectel è immune al bug sfruttato così è molto generale, più completamente caratterizzato, tuttavia Pine64 è necessaria per spedire il firmware proprietario sfruttabili per impostazione predefinita per la conformità alle normative motivi – le conseguenze per fare un passo fuori della linea su quello sono abbastanza drastiche, secondo una fonte Pine64.

Domande in mente. PinePhone è una piattaforma senza rischi? La mia opinione è – “sì” rispetto a qualsiasi altra cosa, “no” se si aspetta di essere incondizionatamente privo di rischio quando si utilizza esso. Così com’è, è una piattaforma che ha bisogno in modo esplicito la vostra comprensione di ciò che si sta dirigendo di fare.

Con molte più distribuzioni del sistema operativo offerti rispetto a qualsiasi tipo di altro telefono contemporanea possa gloriarsi di essere in grado di supporto, è possibile utilizzare qualcosa come Ubuntu Touch per un’esperienza liscia. Hai a disposizione un sacco generale più potere per mantenere se stessi senza rischi quando si utilizza un PinePhone. le persone che comprendono che il potenziale di questo potere sono il tipo di persone che contribuiscono al progetto PinePhone, che è il motivo per cui è un peccato che in particolare sono stati mirati a questo evento.

Altre piattaforme risolvere questi problemi in modo diverso, in cui solo una parte della opzione è un’applicazione software reale così come opera architettonica fatto dalla piattaforma, così come un altro è con la formazione degli utenti. Peresempio, non ci si aspetta di utilizzare un appstore di terze parti (o firmware, o il caricatore, o un metodo presa) sul vostro iPhone, così come Android ha caselle di controllo di modalità di design si può raggiungere se si ricrea il terzo movimento di “Flight of calabrone”con il dito nella schermata delle impostazioni. Il metodo ecosistema Linux è quello di dipendere dal kernel per la fornitura di fiducia primitive di sicurezza di basso livello, ma l’obbligo è sulle distribuzioni di integrare applicazioni software così come le configurazioni che rendono utilizzano di queste primitive.

Io suggerirei che i telefoni distribuzioni Linux dovrebbero definire e preservare la loro posizione sulla scala “sicurezza”, troppo, elaborando le procedure che prendono quando si riferisce a applicazioni di terze parti. un anno e mezzo fa, quando stavo preparando una sintesi su differenti sistemi operativi offerti PinePhone così come le loro posizioni in materia di sicurezza app, mi metodo voluto molto più tempo di quanto mi sentirei comodo avere qualcuno spendere per un compito di tale importanza.

Quali sono le nostre opzioni?

Il succo delle raccomandazioni fornite fuori per i nuovi arrivati è “Non installare un’applicazione software a caso non si può fidare”. Mentre questo è ottimi consigli sul proprio, si sarebbe ideale per sottolineare – un gioco non dovrebbe essere in grado di pulire il sistema, così come “ottengono gli utenti molto meglio” normalmente non è una strategia praticabile. qualsiasi tipo di stratega di sicurezza nella smentita circa intrinseca fallibilità umana non ha intenzione di farlo nel mondo contemporaneo, così vediamo cosa possiamo fare accanto al normale “educare gli utenti” parte. Come al solito, c’è un XKCD per cominciare con.

Pur essendo in grado di comporre per un arbitrario i dati degli utenti di proprietà su un sistema Linux è “game over”. Dire, in $ HOME / .bashrc, si può alias sudo per stdin-registrazione-app sudo così come entrare in possesso della password dell’utente prossima volta che corrono sudo nel terminale. .bashrc non è il dato solo un utente-scrivibile sempre svolto con regolarità, sia. Mentre le opzioni sandboxing vengono stabiliti per fissare questo tipo di problemi, il lavoro è lenta e gli elementi di esso sono non banale, normalmente più fine denominato “dinamico nonché whitelist complesso”.

Un pezzo di raccomandazioni spesso distribuiti è “se non è possibile controllare il codice così come comprendere ciò che fa, non eseguirlo”, presumibilmente, destinata ad applicarsi a fasci e basi di codice di più di un progetto di fine settimana. Ironia della sorte, questo mette Linux ad un aspetto negativo ingiustificato ai sistemi closed-source. Il metodo “condividere un .exe” di applicazioni distribuzione è più vecchio di me personalmente, così come è ancora una tecnica accettata della condivisione di applicazioni software che qualcuno composto per Windows, con UAC dopo aver finito per essere ancora una scatola di clic più riflessiva. Anche in questo caso, mettendo molto di più di un problema di sicurezza sulle spalle degli utenti Linux è semplice però insensato.

Sarebbe la condivisione del codice sorgente anche aiutare nella situazione del malware? No! Infatti, allegando un link ad un repo codice sorgente aiuterebbe [Ubuntu] rendere la distribuzione di malware molto più plausibile. Quando si pubblica un pacchetto, anche su piattaforme apparentemente affidabili, c’è raramente qualsiasi tipo di controlli sul se il codice all’interno del fascio si pubblica corrisponde al codice nel vostro repo.

Questo è vero per una grande quantità di luoghi – GitHub così come uscite GitLab, DockerHub, NPM, RubyGems, negozi di estensione del browser, Cheese Shop, i repository Linux così come anche alcune apparentemente privi di rischio, come l’F-Droid, sono vulnerabili. la fornitura di sorgente lungo un fascio dannoso aggiunge legittimità, così prende come via incentivi per personale qualificato per ispezionare il binario nella prima posizione – hey, c’è il codice per vedere già! Se [ubuntu] ha fatto proprio questo, forse staremmo parlando di questo evento pochi giorni dopo, così come in un tono molto più triste. attacchi di supply-chain sono il hotness nuovo nel 2020 e 2021.

Un sacco di sistemi di sicurezza che hanno creato sono basato sulla fiducia. firma bundle è il più famoso, dove una firma crittografica di un responsabile persona, per preservare il fascio viene utilizzato per stabilire la “X attesti persona per innocuità di questo pacchetto”. HTTPS è un altro l’innovazione basata sulla fiducia che utilizziamo tutti i giorni, anche se, in realtà, si sta confidando metodo chiavi manutentore del sistema operativo molto più di qualsiasi tipo di proprietario specifico cruciale del tuo browser o.

Quando applicate nella misura in cui essa ci rende davvero molto più sicuri, basati sulla fiducia tecnologia mette un problema su nuovi designer che non hanno abbastanza lucido sociale, nonché abilità di crittografia. Tuttavia, quando comunemente già soddisfatto con privo di documentazione, API incompleti così come le biblioteche non testati, devono abbiamo veramente essere amplificando il problema qualsiasi tipo di ulteriore? forse non è poi così male.

La firma tecnologia basata sulla fiducia Ho già detto comunemente viene usato per le immagini del sistema operativo normalmente scaricare per l’avvio del PC (o telefono!) Con una installazione di Linux, ma non è ancora prominente sul PinePhone – per esempio, piuttosto un paio di foto OS per PinePhone don ‘t hanno tali firme, che ero insoddisfatto da, considerando che un sacco di grandi distribuzioni per il PC sUpply Questi così come mi aspettavo che l’area del telefono Linux non sia diversa, oltre che non avere firme può essere disastrosa. Piuttosto alcune caratteristiche relative alla sicurezza come questo sono lì per l’assunzione, tuttavia non vengono utilizzate poiché hanno bisogno di sforzi non banale in forma a strutture di un progetto se non è stata creata con la sicurezza in mente fin dall’inizio, o produrre un problema extra sugli sviluppatori.

Di cosa abbiamo davvero bisogno?

Il quartiere del pinephone ha implementato alcune nuove regole, alcune canalizzazioni nel territorio “Automazione”. Ciò contribuirà in modo potenzialmente un certo tipo di problema per essere meno impatti in futuro – anche se suggerisco che la memoria istituzionale deve giocare una parte più grande in questo. Fai attenzione ai Greci che portano i regali … fino a quando non scoprono esattamente come lavorare intorno all’euristica del tuo discordia Bot? Ho già, per esempio. Questo è un argomento monumentale con radici oltre l’eccellente malware di serpente del pinephone del 2021, così come questo post non è nemmeno quello del fatto che per aiutarti a comprendere ciò che succede con elementi cruciali della sicurezza di Linux, o forse anche la sicurezza di Tutti i software open source.

Per me, questo malware colpisce le note di “inevitabile” così come “adeguamento del corso” e “dolori in crescita”. Le discussioni sul dipendono dalla domanda di software prendono la posizione in ogni quartiere che diventa abbastanza grande.

Abbiamo requisito il riconoscimento che il malware di Linux è possibile e può alla fine è finito per essere diffuso, così come una discussione sana su come smettere esattamente come fermarlo è cruciale. Linux ha ancora con successo nessun malware, tuttavia il giorno in cui non possiamo più specificare, quindi si sta avvicinando.

Non sono sicuro della precisa modifica del programma di cui abbiamo bisogno. Comprendendo il sistema va molto lontano, tuttavia le procedure di sicurezza che ci aspettiamo non possono escludere gli individui di potenza e gli sviluppatori principianti. Tecnicamente, sia che si tratti di contenibilità, sandboxing, infrastruttura basata sulla fiducia, o lingue sicure di memoria, abbiamo bisogno di capire cosa abbiamo requisito prima di capire cosa chiedere.

Vorrei dire grazie a [Lukasz] del quartiere di Pine64 e [Hacker fantastico] per aiutare i controlli di circostanze del pinephone.

Leave a Reply

Your email address will not be published. Required fields are marked *