Es war nur eine Frage der Zeit: Malware, versteckt in einem vermeintlich interessanten Download, machte das Modem des PinePhone unbrauchbar. Es zeigt sich leider: Linux ist im mobilen Bereich nett zum basteln, aber meilenweit von den Standards entfernt, die Android oder iOS heute setzen.
Über den Fall berichtete GNU/Linux.ch und der Vorfall ist schnell beschrieben: Ein bösartiger Entwickler versteckte die Malware in einem vermeintlich interessanten Download. Die Malware nutzte eine länger bekannte Sicherheitslücke aus und führte mit Root-Rechten Code auf dem Modem des Gerätes aus.
Bösartige Entwickler und Malware sind natürlich kein exklusives Problem für Linux im Smartphone-Bereich. Insbesondere Android ist davon auch in schöner Regelmäßigkeit betroffen. Der Fall zeigt sehr schön, warum die Linux-Systeme im mobilen Bereich zwar eine nette Bastelei, aber meilenweit von Produktivität oder nur minimalen Sicherheitsstandards entfernt sind.
Vier Stichpunkte dazu:
- Software aus Downloads „im Internet“
- Rootrechte auf dem Gerät
- Keine Sandboxes oder irgendwelche Rechtebeschränkungen für Apps
- Offene Sicherheitslücken
Im mobilen Bereich hat sich bei der Sicherheit einfach in den letzten Jahren wahnsinnig viel getan – sowohl bei Android als auch bei iOS. Beide Systeme haben sich da ein durchaus produktives Wettrennen geliefert, angeheizt von einer sensiblen Öffentlichkeit, die entsprechende Verbesserungen honoriert hat.
Linux auf dem Smartphone kommt hingegen mit ähnlichen Prinzipien wie Linux auf dem Desktop. Das dürfte schon am Desktop nur deshalb ausreichen, weil die geringe Verbreitung Linux zu keinem attraktiven Ziel macht. Für Smartphones mit ihren vielen Sensoren und zusätzlichen Angriffsvektoren reicht es sicher nicht.
Deshalb sollte man tunlichst nicht auf irgendwelche Privacy-Versprechen hereinfallen, die durch „Kill-switches“ für WLAN, Bluetooth etc. suggeriert werden. Linux ist am Smartphone nett, wenn man Spaß hat an solchen Sachen herumzuspielen, aber mehr wirklich nicht.
Wenn man Software aus einer unzuverlässigen Quelle herunterlädt und ausführt, kann man jedes System kompromitieren. Ich sehe nicht, was das mit Linux auf dem Smartphone zu tun hat.
Ist völlig richtig, aber wenn ich das richtig gelesen habe, hat eine offene u. bekannte Sicherheitslücke und vorhandene Root-Rechte geholfen. Ob man bei aktuellen Linuxsystemen für Smartphone ohne Fremdquellen und Downloads auskommt, kann ich nicht beantworten, habe aber angesichts der gelesenen Erfahrungsberichte meine Zweifel.
Deshalb meine Einschätzung, dass Linux auf dem Smartphone nett zum spielen, aber eben nicht mehr ist. Ich dachte dabei natürlich auch an folgendes Gerät: https://puri.sm/products/librem-5/
Die Grundsaussage ist sicher nicht ganz von der Hand zu weisen. Das ist an Ubuntu Touch positiv hervorzuheben, dass es mit App Confinement kommt. Root-Rechte habe ich mit sudo im Terminal. Braucht und nutzt ein Normalo aber nicht, ist was für Entwickler und Bastler. Downloads irgendwo aus dem Netz braucht auch keiner, weil alle Apps über den OpenStore und Systemaktualisierungen über die ubports Server gezogen werden.