Malware machte Modem des PinePhone unbrauchbar

Es war nur eine Frage der Zeit: Malware, versteckt in einem vermeintlich interessanten Download, machte das Modem des PinePhone unbrauchbar. Es zeigt sich leider: Linux ist im mobilen Bereich nett zum basteln, aber meilenweit von den Standards entfernt, die Android oder iOS heute setzen.

Über den Fall berichtete GNU/Linux.ch und der Vorfall ist schnell beschrieben: Ein bösartiger Entwickler versteckte die Malware in einem vermeintlich interessanten Download. Die Malware nutzte eine länger bekannte Sicherheitslücke aus und führte mit Root-Rechten Code auf dem Modem des Gerätes aus.

Bösartige Entwickler und Malware sind natürlich kein exklusives Problem für Linux im Smartphone-Bereich. Insbesondere Android ist davon auch in schöner Regelmäßigkeit betroffen. Der Fall zeigt sehr schön, warum die Linux-Systeme im mobilen Bereich zwar eine nette Bastelei, aber meilenweit von Produktivität oder nur minimalen Sicherheitsstandards entfernt sind.

Vier Stichpunkte dazu:

  • Software aus Downloads „im Internet“
  • Rootrechte auf dem Gerät
  • Keine Sandboxes oder irgendwelche Rechtebeschränkungen für Apps
  • Offene Sicherheitslücken

Im mobilen Bereich hat sich bei der Sicherheit einfach in den letzten Jahren wahnsinnig viel getan – sowohl bei Android als auch bei iOS. Beide Systeme haben sich da ein durchaus produktives Wettrennen geliefert, angeheizt von einer sensiblen Öffentlichkeit, die entsprechende Verbesserungen honoriert hat.

Linux auf dem Smartphone kommt hingegen mit ähnlichen Prinzipien wie Linux auf dem Desktop. Das dürfte schon am Desktop nur deshalb ausreichen, weil die geringe Verbreitung Linux zu keinem attraktiven Ziel macht. Für Smartphones mit ihren vielen Sensoren und zusätzlichen Angriffsvektoren reicht es sicher nicht.

Deshalb sollte man tunlichst nicht auf irgendwelche Privacy-Versprechen hereinfallen, die durch „Kill-switches“ für WLAN, Bluetooth etc. suggeriert werden. Linux ist am Smartphone nett, wenn man Spaß hat an solchen Sachen herumzuspielen, aber mehr wirklich nicht.

3 Kommentare

  1. Wenn man Software aus einer unzuverlässigen Quelle herunterlädt und ausführt, kann man jedes System kompromitieren. Ich sehe nicht, was das mit Linux auf dem Smartphone zu tun hat.

    • Ist völlig richtig, aber wenn ich das richtig gelesen habe, hat eine offene u. bekannte Sicherheitslücke und vorhandene Root-Rechte geholfen. Ob man bei aktuellen Linuxsystemen für Smartphone ohne Fremdquellen und Downloads auskommt, kann ich nicht beantworten, habe aber angesichts der gelesenen Erfahrungsberichte meine Zweifel.

      Deshalb meine Einschätzung, dass Linux auf dem Smartphone nett zum spielen, aber eben nicht mehr ist. Ich dachte dabei natürlich auch an folgendes Gerät: https://puri.sm/products/librem-5/

  2. Die Grundsaussage ist sicher nicht ganz von der Hand zu weisen. Das ist an Ubuntu Touch positiv hervorzuheben, dass es mit App Confinement kommt. Root-Rechte habe ich mit sudo im Terminal. Braucht und nutzt ein Normalo aber nicht, ist was für Entwickler und Bastler. Downloads irgendwo aus dem Netz braucht auch keiner, weil alle Apps über den OpenStore und Systemaktualisierungen über die ubports Server gezogen werden.

Kommentarfunktion ist geschlossen.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...