LineageOS houdt distributie van builds offline na inbraak op servers

Hackers zijn de servers van LineageOS binnengedrongen. Ze misbruikten daarvoor een bekende softwarekwetsbaarheid. Bij de hack zijn geen gegevens of signing keys gestolen, maar LineageOS houdt zijn diensten wel tijdelijk offline.

LineageOS heeft de verspreiding van nieuwe builds tijdelijk offline gehaald. Op de statuspagina is te zien dat dit sinds zondagnacht het geval is. LineageOS zegt op Twitter dat een aanvaller toegang heeft gekregen tot de infrastructuur van het bedrijf. De website en de wiki werken nog wel, maar gebruikers kunnen geen nieuwe versies van het Android-besturingssysteem binnenhalen. Dat kon al niet, omdat de verspreiding van builds door een ongerelateerd probleem sinds 30 april was stopgezet.

Bij de aanval zijn volgens LineageOS geen gegevens gestolen of gemanipuleerd. De hackers hebben geen code in de builds gestopt of de broncode aangepast. Ook belangrijk is dat volgens LineageOS geen signing keys zijn buitgemaakt. Die keys worden gebruikt om de verspreiding te authenticeren, maar volgens LineageOS stonden die sleutels op een andere infrastructuur dan die nu is getroffen.

De hackers kwamen volgens LineageOS op 2 mei binnen. Dat gebeurde via een lek in serverautomatiseringstool SaltStack. Op 30 april werden in Salt twee kwetsbaarheden gevonden. CVE-2020-11651 en CVE-2020-11652 zijn lekken om een remote code execution zonder authenticatie uit te voeren.

Reacties (33)

curry684 4 mei 2020 10:01

Ghost en Digicert ook al intussen: https://www.zdnet.com/art...fected-with-crypto-miner/

Inmiddels is ook bewezen dat de eerste exploit zichzelf kan updaten: https://github.com/saltst...57#issuecomment-623134988

patatman12 @curry684 • 4 mei 2020 10:12

Gelukkig als je er snel bij was, en nog V1 had was het vrij makkelijk op te lossen.
Salt-master stoppen (of niet extern beschikbaar maken) files opschonen op de getroffen minions en dan upgraden naar de laatste versie.

Quote van de Slack:

Version 1 is not persistent. This does not mean all you have to do is delete the two mentions files above.
Update: Version 4 is persistent! Look at your crontabs!
The crontab job performed in version 3/4 does not yet do much. It looks like a placeholder for when the virus will do something nastier later. But keep in mind, this script can (and likely will) be updated at any point and will run arbitrary shell scripts.

mg794613 4 mei 2020 10:49

Nu is je configuratie management systeem openzetten voor de wereld natuurlijk een beetje de kat op het spek binden.
Saltstack is awesome, maar vulnerability of niet, dat hoor je te firewallen of over mgt netwerk te laten gaan.

Californication 4 mei 2020 10:07

Toch ga ik deze OS eens testen. Zal nooit Android draaien, begin een beetje klaar te zijn met Apple (al is de interface heerlijk). Op zoek naar een goed alternatief met zo veel mogelijk aan privacy ingebakken in OS en hardware.

teek2

@Californication • 4 mei 2020 10:13

LOS is gewoon Android, de meeste mensen installeren meteen alles van Google tijden de installatie (de Google sevices, voor locatie bepaling en de play store etc). Nadeel is dat je daarmee meteen alle tracking van Google installeert. Je hoeft niet de Google services te flashen maar zonder is het heel kaal. Een poging om het Google vormige gat in LOS te dichten is LOS + microg (https://lineage.microg.org/), waar microg de Google services vervangt. Ik denk dat je dat zoekt, maar de ervaring is ver weg van Android+Google of de iPhone hoor.

Zelf ben ik op dit moment aan het wachten tot LOS+microg 17.1 uitkomt voor de Oneplus 3, zodat ik het weer eens kan testen.De laatste keer heb ik zonder microg en zonder Google geprobeerd, dat hield ik 1 dag uit.

[Reactie gewijzigd door teek2 op 22 juli 2024 16:12]

thatent

@teek2 • 4 mei 2020 10:47

Ik draai zelf al jaren LOS + microg. Ik kan nagenoeg alles met m'n telefoon mbv F-droid en Aurora Store. Ook locatieservices werken prima.

Ik heb geen Google-account op m'n telefoon en gebuik ook geen Google-account in de Aurora Store. Daardoor kan ik geen betaalde apps gebruiken. Dat is zo'n beetje het enige dat ik mis.

teek2

@thatent • 4 mei 2020 10:50

Cool. Op de LOS+microg website raden ze Playmaker of GPlayWeb (host je eigen Play Store "bridge"), ik wil die gaan proberen, ik heb namelijk best al wat apps gekocht die ik wel waardeer... Ben wel benieuwd of die het doen zonder de core play services.

Edit: @thatent, heb jij enig idee wanneer ze met LOS 17.1 images gaan komen?

[Reactie gewijzigd door teek2 op 22 juli 2024 16:12]

Verwijderd @teek2 • 4 mei 2020 11:12

Microg verzorgt juist die core play services. Alleen van Google's eigen apps is het wisselend of ze werken (en veranderd sterk met updates van deze apps). Als je de moeite neemt om door safetynet te blijven komen, is mijn ervaring dat er weinig apps zijn die niet of instabiel werken.
Daarnaast kun je in Aurora Store ook met je eigen account inloggen, ze raden het alleen af omdat het gebruik van een andere app zoals Aurora, Playmaker of GPlayWeb tegen de voorwaarden van Google is en ze jouw account ervoor kunnen sluiten.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:12]

Uchy @teek2 • 4 mei 2020 10:22

MicroG weet ik niet, maar LOS 17.1 voor de 3/3t is nu 2 weken uit

teek2

@Uchy • 4 mei 2020 10:45

Yes, ik draai hem ook al 2 weken

maar ben ook wel erg benieuwd naar de hoe microg werkt, dus ik houd deze website naarstig in de gaten: https://download.lineage.microg.org/oneplus3/

N8w8 @teek2 • 4 mei 2020 12:20

Daar heb je gelijk in, zonder Google is het een stuk kaler, maar dat kan je zelf weer opvullen.
Al dat naadloze gemak wordt mogelijk gemaakt door cloud diensten dingen te laten verzorgen.
Nadeel daarvan is dat je controle verliest en privegegevens deelt.
Wil je dat niet, dan kan je zelf andere oplossingen verzinnen die beter aansluiten bij je wensen mbt privacy en gemak.
Ikzelf heb nooit zo gebruik gemaakt van cloud dingen, dus weet niet precies wat ik zou moeten missen en hoe dat dan te vervangen.
Maar goed, ik red me iig met adresboek in CardDAV, mail op eigen domein via SMTP/IMAP, chat via XMPP, navigeren via OpenStreetMap met offline kaarten, backups via rsync over ssh, etc.
Zelf geen behoefte aan/ervaring mee, maar wil je eoa (sociaal) deel/samenwerk platform, daar hebben ze oa Nextcloud voor.
Niet iedereen heeft hier zin in, maar het ligt er maar aan hoe graag je van die bedrijven af wilt, er zijn keuzemogelijkheden.

Jeffrey_KL @Californication • 4 mei 2020 10:10

Je snapt dat Lineage OS gewoon Android is?

Californication @Jeffrey_KL • 4 mei 2020 11:15

Jazeker, beter gezegd misschien (zoals theduke zegt), een OS zonder google.
En om eerlijk te zijn is Android niet erg intuitief. Maar ik gok dat het gross van alternatieve OS-es
dit ook niet zal zijn.

NaoPb @Californication • 4 mei 2020 13:11

Volgens mij bestaan er geen OS-es die echt intuitief zijn. Alleen OS-es waar je aan gewend bent.

theduke1989 @Jeffrey_KL • 4 mei 2020 10:50

Android zonder Google diensten.

Wrakna860 @theduke1989 • 4 mei 2020 10:55

maar met de Google code...

herovazy @Californication • 4 mei 2020 10:09

Beetje vreemde reactie, aangezien LineageOS ook gewoon Android is. Echter heb je er natuurlijk wel zelf de keuze of je er Google apps op wilt draaien

Wrakna860 @Californication • 4 mei 2020 10:56

Probeer dit eens...
https://e.foundation

[Reactie gewijzigd door Wrakna860 op 22 juli 2024 16:12]

Beta

@Californication • 4 mei 2020 11:06

Je weet dat dit gewoon Android is?
Je kan er bij sommige builds wel voor kiezen niet de play services mee te installeren.

TheVivaldi @Californication • 4 mei 2020 12:40

Als je wat meer Apple's interface wilt, dan is /e/ een beter op Android-gebaseerd OS voor je

Eonfge @Californication • 4 mei 2020 10:11

Voor mij is Lineage OS altijd een goede balans geweest tussen vrijheid, veiligheid, privacy, en gebruikersgemak. Het is even wat werk om je toestel uit te rusten met Lineage OS, maar eenmaal door alle hoepels heen gesprongen zou ik nooit meer en toestel zonder Lineage OS willen draaien.

dutchnltweaker @Eonfge • 4 mei 2020 10:15

https://grapheneos.org/ doet dit ook en gaat volgens mij een stukje verder, deze is alleen beschikbaar voor pixel phones helaas.

StefanJanssen @ExManolo • 4 mei 2020 12:21

Heb jij het artikel wel gelezen? Meteen nadat de inbraak bekend was hebben ze alles afgesloten. Daarnaast zijn de code, builds en signing keys niet getroffen. Er is dus niets aan de hand met de builds, wel met de build server.
JIj hebt twee jaar geleden wat roms uitgeprobeerd. En jij weet nu dat geen enkele rom te vertrouwen is? Wat doet jou wel vertrouwen hebben in Google of Apple maar niet in een systeem wat volledig opensource is?

Over dat het niet werkt vind ik ook erg raar. Ik gebruik al ruim 4 jaar Android, heb geen google account en kan verder gewoon alles doen wat ik wil. Alle gratis apps uit de appstore zijn gewoon te gebruiken namelijk.

Eonfge @ExManolo • 4 mei 2020 12:27

- Ik krijg al twee jaar lang beveiligingsupdates voor een toestel welke officieel end-of-life is.
- Ik kan een systeem firewall instellen om trackers en reclame te blokkeren.
- Ik kan ervoor kiezen om een toestel zonder Google of andere multinationals te gebruiken.

En inhoudelijk. Er staat duidelijk in het artikel dat beveiligingsgevoelige data zoals sleutels niet zijn buitgemaakt.

Beter nog, wist je al dat officiële updates van Android vaak niet eens echt de beveiligingsupdates toepassen, maar alleen het versienummer aanpassen:
https://www.wired.com/sto...ecurity-updates-from-you/

Dussuh. Lineage OS is aanzienlijk vrijer en veiliger dan de alternatieven.

candyman @Californication • 4 mei 2020 10:48

Heb je Ubuntu al geprobeerd?
Of plasma mobile?

Californication @candyman • 4 mei 2020 11:15

aan het bekijken

StefanJanssen @candyman • 4 mei 2020 12:22

Sailfish OS?

RIVDSL @Californication • 4 mei 2020 19:49

Ik gebruik zelf https://e.foundation/. Dit is een fork van LineageOS + microG, met name gericht op gebruiksvriendelijkheid ook als je geen Android expert bent.

GekkePrutser @RIVDSL • 5 mei 2020 19:10

Het jammere van /e/ is dat ze nogal achterlopen, de meeste modellen zitten nog niet eens op pie (en die het wel hebben pas sinds kort) terwijl Lineage al op 10 zit voor alle ondersteunde modellen.

RIVDSL @GekkePrutser • 7 mei 2020 18:44

Dit klopt inderdaad. Ik gebruikte zelf hiervoor Windows phone. Dus ik merk dit persoonlijk niet omdat ik nooit met nieuwere Android versies heb gewerkt. Voordeel is wel weer dat ze oude toestellen blijven ondersteunen, waar Lineage de support al lang heeft gedropt (omdat enthousiastelingen nu eenmaal graag nieuwe toestellen kopen en er daardoor geen maintainers zijn voor de oude meuk).

xiphoid 4 mei 2020 13:15

RAMNode en andere hosting providers hebben hun klanten ook een email gestuurd voor disclosure van hun compromise en misbruik op hun systeem.

darylrodriquez 5 mei 2020 09:40

Dit is echt een nuttig artikel voor mij!

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (33)

Sorteer op:

Weergave: