In den Chaträumen der PinePhone-Community wurde ein Snake-Spiel zum Download angeboten, welches Malware enthielt. Der Autor der Software, welche das Modem des PinePhones unbrauchbar macht, kündigte dies als seinen ersten Versuch an, ein Spiel für das PinePhone zu erstellen, und hat interessierte Anwender darum gebeten, es zu testen.
Das mittels Bashfuscator unkenntlich gemachte Script führte dabei Code mit Root-Rechten über das AT Kommando auf dem Modem des Gerätes aus. Dabei nutzte der Autor eine seit längerem bekannten Sicherheitslücke. Auf dem Modem läuft eine eigenständige Linux-Installation, welche über die serielle Schnittstelle /dev/ttyUSB2 vom PinePhone mittels AT-Befehlen angesprochen werden kann.
Der Versuch Malware auf PinePhones einzuschleusen wurde in diesem Falle schnell aufgedeckt, er zeigt aber deutlich, dass man keinen unbekannten Code ohne vorherige Prüfung auf seinem Gerät ausführen sollte.
Mir fehlt hier eine wichtige Information,durch die ich den Fall vollkommen unterschiedlich bewerten wuerde: Muss man auf dem eigentlichen System schon Root Rechte haben,damit das funktioniert,oder reicht Zugang zu einem normalen Benutzeraccount?
Wenn man schon Root haben muss,ist es kein Problem.Man sollte vollen Zugriff auf das ganze Geraet bekommen koennen,auch auf das Modem,dazu gibt es noch mehr Wege.Und wenn man nicht mit Root Rechten umgehen kann bzw. leichtsinnig damit umgeht,hat man halt Pech gehabt.
Wenn ein normaler Benutzeraccount reicht,ist die Luecke wirklich kritisch.Dann koennte man sich ja Root Rechte zu einem Teil des Geraets verschaffen und alles moegliche damit anstellen,was man will,vielleicht sogar ohne dass der Benutzer etwas davon merkt.
Ich habe (aus Gründen ;-)) versucht die Sache nachvollziehen, und so wie es aussieht hat die Person hier ein Binärpaket für Arch/Manjaro erstellt. Die Malware war dann obfuskiert im post-install-Skript versteckt, das – da Paket-Installation – die Root-Rechte schon hat → d.h., keine "privilege escalation".
Wenn man also immer brav keine Random-Binärpakete installiert und PKGBUILD-Skripte tatsächlich liest, sollte man solche Probleme umgehen können.
Danke für die Ergänzungen.