PINEPHONE KÁRTÉKONY meglepetés FELHASZNÁLÓK növekszik aggályok

PINEPHONE KÁRTÉKONY meglepetés FELHASZNÁLÓK növekszik aggályok

UncategorizedykfwvLeave a comment

december 5-én, valaki az IRC beceneve [ubuntu] csatlakozott a Pine64 viszály a #pinephone csatornát egy IRC hídon. Ennek jegyében december ajándékozás hagyományok, az általuk nyújtott társaik PinePhone egyének egy használva – a „Snake” játék. Ami azt állította, hogy az [Ubuntu] állítólag létrehozta a leendő, hogy végül állomány, a box telepített alkalmazás, egy kicsit a ventilátorok, a modulok, valamint a SpeedRunners.

Sajnos, ez nem lenne a váltakozó világ, amelyet online, valamint mindegyikük nem volt jól, hogy a kötegben megosztották egy kellemes “Hei Gaiz, hogy a kígyó Gaem-nek itt van, a Link www2-pinge-Games-Com-TZ Cserélje ki kötőjel a dot kthxbai “bejelentés. Shockly, ez volt egy trójai! A Base64 rétegek alatt, valamint a bashfuscator a kortárs tezaurusz bejegyzés “példájú használatának” szakaszában lehetünk a “Yeet” szó “Példa használati” szakaszában.

A kód rosszindulatú része nem fejlett – az Obfuscation mellett, a legösszetettebb dolog az, hogy a bash, egy nyelvű nyelv, amelynek értelmetlensége van. -RF / * Nincsenek nehézségük a fájlrendszer törlésének mocskos munkájával, amely minden adatot előre megrázza, előzetesen felajánlotta az adatgyűjtést. Ami a “Törölje a Cellular Modem firmware” jutalmát, kihasználja a CVE-2021-31698-at. Mindezek a következő szerdán 20:00 órakor fordulnak elő, egy Systemd-Backed Cronjob által végzett rendezéssel.

[Ubuntu] nem osztott forrásokat, csak a binárisokat, az egyszerű telepítéshez az Arch Linuxra. Az egyik híres fenyőszomszédország tagja telepítette azt a bináris, és örömmel vette a “játék” részét, és megkérdezi, hogy tervezi a nyílt forráskódot – megnyugtatja az [ubuntu], hogy a források végül megjelentek, “csak Követelmény a tisztításhoz “. Néhányan nem voltak biztosak, azzal érvelve, hogy az embereknek nem kell sudo telepíteni ezt a véletlenszerű játékokat, amelyek forráskód nélkül repo link. Az emberek alacsony riasztásban voltak, és talán olyan sok, mint egy tétel, mint egy tétel, mielőtt egy óvatos, valamint az intelligens tag Unarred a csomag, valamint tájékoztatta az embereket a gyanús base64-ben a .install script-ben, körülbelül fél nap majd később.

Hogyan fordítjuk le ezt?

Ez volt a kisméretű, mégis nagy erőfeszítésű pusztító támadás a fenyőfuer-felhasználók számára, amely célja az íveket kifejezetten az útközben. A Malware Sender feltárja a “Játékfejlesztési erőfeszítéseiket” a közzététel előtt, a csatornában maradt egy kis beszélgetést, valamint a Q & A-t, valamint egyébként nem volt gyorsan megkülönböztethető egy tipikus tervezőtől, amely az első Alkalmazás. Sokan közül sok, a kígyó játék rendkívül sok valódi – ez nem távolítja el, hogy a kódot ellopták-e néhány nyílt forrású projektből, de nem különbözteti meg egy nem rosszindulatú kígyójátékból. Kíváncsi, hogy a csomag úgy tűnik, hogy személyes adatokat küld semmilyen szerverhez (vagy titkosítja a fájlokat, vagy arra kényszeríti, hogy élvezze a hirdetésekhez hasonló hirdetéseket a kortárs mobiljátékokhoz) – gyorsan lehet, de ez nem.

Az összeget a munkát végeznek a PinePhone modem fordított mérnöki, ez furcsa, hogy a kártevő kihasználja a khez együtt szerepel az erőfeszítést. Nem számíthatsz egy normál telefonvírusra, hogy kihúzza a cellás modem tégla trükkjét, feltéve, hogy az Android világ fragmentációja, valamint az Apple World obsuscationja. A Quectel Cellular modem számára a közösség által kifejlesztett nyílt forráskódú firmware immunis ahhoz, hogy a kizsákmányolt hiba, valamint a leginkább teljes körűen elérhető, de a pine64 a kiaknázható tulajdonosi firmware-t alapértelmezés szerint a szabályozási megfelelés alapján kell elvégezni Okok – a vonalból való kilépés következményei, amelyek elég drasztikusak, egy fenyő 64 forrás szerint.

Kérdések az elme. A fenyő kockázatmentes platform? Az én vételem – “Igen”, mint bármi más, a “Nem”, ha feltétel nélkül kockázatmentes lesz, ha felhasználja. Ahogy áll, ez egy olyan platform, amely kifejezetten szüksége van a megértésre, hogy mit irányít.

Sokkal több OS eloszlással kínált, mint bármely más kortárs telefon, lehet, hogy képes arra, hogy támogassák, használhatsz olyan, mint az ubuntu érintse meg a sima élményt. Ön általánosságban sokkal nagyobb hatalmat biztosítani, hogy a fenyőfájl kihasználásakor kockázatmentes legyen. emberek, akik értik a leendő ez a hatalom a típusú emberek, akik hozzájárulnak a projekt PinePhone, ezért is sajnálatos, hogy ezek különösen céloztak ezen az eseményen.

Más platformok ilyen problémák kijavításának különböző módon, ahol csak egy része az opció tényleges szoftver alkalmazás, valamint az építészeti munkát a platform, valamint egy több van képzése a felhasználók számára. mertPéldául, akkor nem várható, hogy kihasználja egy harmadik fél AppStore (vagy firmware, vagy a töltő, vagy fogást módszer) az iPhone-on, valamint Android tervező módban négyzeteket juthatsz, ha újra a harmadik mozgását „Flight of a dongó”az ujjával a képernyőt. A Linux ökoszisztéma módszer függ attól, hogy a kernel, hogy a kínálat megbízható alacsony szintű biztonsági primitívek, azonban ez a kötelezettség a disztribúció integrálni szoftver alkalmazás, valamint konfigurációk, amelyek használják ezeket a primitívek.

Azt javasoljuk, hogy a mobil Linux disztribúciók kell meghatározni, valamint megőrizzék beállítás a „biztonság” méretekben is, dolgozza ki az eljárások vesznek, amikor arra vonatkozik, hogy a harmadik féltől származó alkalmazások. fél évvel ezelőtt, amikor én készül egy összefoglaló különböző operációs rendszerek felajánlott PinePhone valamint azok irányvonal app biztonság, ez elvitt módszer sokkal több időt igényel, mint éreznék magukat, amelynek valaki ráfordítás feladat olyan jelentős.

Mik a lehetőségek?

A lényege ajánlásokat ki újoncok a „ne hozzanak létre véletlenszerű szoftver alkalmazás nem bízhatsz.” Bár ez nagyszerű ajánlásokat a saját, akkor lenne ideális rámutatni – a játék nem tudja törölni a rendszer, valamint az „lesz sokkal jobb a felhasználók” normálisan nem életképes stratégia. bármilyen típusú biztonsági stratégája tagadjuk rejlő emberi gyarlóság nem fog tenni, hogy a mai világban, lássuk, mit tehetünk mellett a szokásos „nevelő felhasználók” része. Mint általában, van egy XKCD kezdeni le.

Még hogy képes komponálni egy tetszőleges felhasználói tulajdonban lévő adatokat egy Linux rendszer „game over”. Mondjuk, a $ HOME / .bashrc, akkor alias sudo az stdin-felvevő-app sudo valamint megszerezni a felhasználó jelszavát legközelebb futnak sudo a terminálon. .bashrc nem az egyetlen felhasználó által írható adatok egyre rendszeresen elvégzik sem. Míg a homokozó lehetőségeket hoznak létre, hogy meghatározza ezeket a típusú problémák, a munka lassú, valamint az elemek úgy vannak nem triviális, általában legfinomabb nevezik „dinamikus, valamint komplex whitelisting”.

Egy darab gyakran adta ki ajánlásokat a „ha nem kivett a kódot, valamint megérteni, mi ez, nem fut el”, feltehetően azt jelentette, hogy alkalmazni kell kötegek, valamint codebases hosszabb, mint egy hétvégi projekt. Ironikus, hogy ez hozza a Linux egy indokolatlan hátránya, hogy zárt forráskódú rendszerek. A „megosztani egy .exe” módszer terjesztése alkalmazások idősebb nálam személyesen, valamint azt is elfogadott módszer megosztás szoftver alkalmazás, hogy valaki áll a Windows, az UAC miután végül is még egy reflexívebb átkattintási mezőbe. Ismét, amivel sokkal több biztonsági probléma Linux felhasználók vállát egyszerű azonban ostoba.

Vajon megosztás a forráskód még segítse a malware helyzetben? Nem! Tény, csatolva a linket egy forráskód repo segítené [ubuntu], hogy a kártékony kódok sokkal valószínűbb. Amikor közzétesz egy csomagot, még állítólag megbízható és állványok, ott ritkán bármilyen típusú ellenőrzését, hogy a kód belsejében a csomag teszi közzé mérkőzést a kódot a repo.

Ez igaz a nagy helyeken – GitHub valamint GitLab kiadások, DockerHub, NPM, RubyGems, böngésző kiterjesztés üzletek, PyPi, valamint még néhány állítólag kockázatmentes Linux adattárak, mint az F-droid, sérülékeny. ellátó sourcecode mentén egy rosszindulatú köteg hozzáteszi legitimitását, valamint enyhítette ösztönzőket képzett embereket, hogy vizsgálja meg a bináris a legelső helyen – hé, a kód ott van, hogy már! Ha a [ubuntu] pontosan ezt tette, talán mi lenne beszélni erről az eseményről néhány nappal később, valamint egy sokkal szomorú hangon. Ellátási lánc támadások az új forróság 2020, valamint 2021.

Rengeteg biztonsági rendszerek hoztunk létre a bizalom alapú. köteg aláírás a legismertebb, ahol egy kriptográfiai aláírása felelős személy megőrzése a köteget létrehozásához használunk „X személy kezeskedik erre csomag ártalmatlanságát”. HTTPS még egy bizalmon alapuló innováció hasznosítjuk a napi, bár tényleg, te bízva a böngésző vagy OS kulcstárát fenntartó módszer sokkal több, mint bármilyen konkrét döntő tulajdonos.

Amikor végre olyan mértékben, hogy ez tényleg tesz minket sokkal biztonságosabb, bizalmon alapuló tech helyezi a probléma az új tervezők, akik nem rendelkeznek elég csiszolt szociális, valamint a kriptográfiai bátorság. Azonban, ha gyakran már elégedett hiányzik dokumentáció hiányos API valamint tesztelt könyvtárak, meg mi valóban gyorsítják a probléma bármilyen további? Talán ez nem is olyan rossz.

A bizalmon alapuló aláírási tech I oldalon általánosan használják OS képeket normálisan letölteni, hogy betöltse a PC (vagy telefonon) a Linux telepítéséhez azonban ez még nem feltűnő PinePhone – például inkább néhány OS képek PinePhone don „t van egy ilyen aláírást, amelyet én elégedetlen, tekintve, hogy sok nagyobb terjesztéshez a PC sEzeket is, valamint vártam, hogy a Linux telefon területe ne legyen más, és ne legyen aláírások katasztrofális. Inkább néhány olyan biztonsággal kapcsolatos funkció, mint ez, azért van, mint ez a vétel, de nem használják fel, mivel nem triviális erőfeszítésekre van szükség a projekt létesítményeibe, ha az elejétől függetlenül nem hozták létre a biztonságot, vagy extra problémát okoz a fejlesztők számára.

Mire szükségünk van?

A PinePhone környéken hajtott végre néhány új szabály, némi csatornázás a „automatizálás” terület. Ez potenciálisan segítséget nyújt egy bizonyos típusú kérdésnek, hogy kevésbé befolyásolja a jövőben – bár azt javaslom, hogy az intézményi emlékezetnek nagyobb szerepet kell játszania ebben. Legyen óvatos a görögök, amelyek ajándékokat hordoznak … fel, amíg meg nem fedik, hogyan kell dolgozni a Diszkord Bot heurisztikáján? Már van például. Ez egy olyan monumentális téma, amely a 2021-es kiváló fenyő-kígyó malware-en túli gyökerekkel, valamint ez a hozzászólás még akkor sem is, ha segít abban, hogy segítsen abban, hogy megértsük, mi van a Linux biztonság fontos elemeihez, vagy talán még a biztonság is Minden nyílt forráskódú szoftver.

Számomra ez a rosszindulatú program az “elkerülhetetlen”, valamint a “tanfolyam-kiigazítás”, valamint a “növekvő fájdalmak” megjegyzéseit szüntesse meg. beszélgetések függ, valamint a szoftver alkalmazás take helyen minden környéken, hogy lesz elég nagy.

Követeljük azt a nyugtázást, hogy a Linux rosszindulatú programok is lehetségesek, és végül végül elterjedtek, valamint az egészséges vita pontosan, hogyan kell megállítani, hogy döntő fontosságú legyen. A Linux még mindig sikeresen nincs rosszindulatú szoftver, de a nap már nem tudjuk meghatározni, hogy közeledik hozzánk.

Nem vagyok biztos benne, hogy a precíz program módosításra van szükségünk. megértettem a rendszer hosszan lehetne, azonban a biztonsági eljárások elvárjuk nem zárhatjuk teljesítmény egyének, valamint a kezdő fejlesztők. Technikailag, legyen az a konténer, a homokozó, a bizalmon alapuló infrastruktúra, vagy a memória-safe nyelv, mi a követelmény, hogy megértsék, amit azt megelőzően megértjük, hogy mit lehet kérni.

Szeretnék köszönetet mondani [Lukasz] a Pine64 szomszédságának, valamint a [hacker fantasztikus] a fenyőfestéki körülményeket.

Leave a Reply

Copyright © 2025 A digitális elektronika