[تحديث: إصلاح] تم اكتشاف تجاوز حماية أداة تحميل التشغيل على OnePlus 6 (يتطلب الوصول الفعلي)

Xda ممتلئOct 31, 2023

تم اكتشاف ثغرة أمنية خطيرة في أداة تحميل التشغيل الخاصة بهاتف OnePlus 6. ويتجاوز هذا الاستغلال، الذي يتطلب الوصول المادي، جميع التدابير الأمنية.

التحديث بتاريخ 9/6/18 الساعة 2:31 مساءً بتوقيت القاهرة: أصدر OnePlus بيانًا بخصوص هذا الموضوع.

التحديث بتاريخ 15/6/18 الساعة 10:47 صباحًا: بدأ OnePlus في طرحه أوكسجين أو إس 5.1.7 مع إصلاح ثغرة أداة تحميل التشغيل.

كان ون بلس 6 أصبح رسميًا في منتصف الشهر الماضي. لقد بدأ الجهاز مؤخرًا في الوصول إلى أيدي المستهلكين والمطورين في منتدياتنا، وقد سمعنا بالفعل عن العمل الذي يتم إنجازه. ان البناء الرسمي لـ TWRP متاح بالفعل والعمل جار بشكل جيد على LineageOS 15.1 GSI غير الرسمي. لا يحظى هاتف OnePlus 6 باهتمام المستخدمين المهتمين بالجهاز لاستخدامهم الشخصي أو فقط ومع ذلك، بدأ الباحثون الأمنيون بإلقاء نظرة فاحصة على الجهاز لمعرفة ما يمكنهم فعله يجد.

أحد هؤلاء الباحثين، جيسون دونينفيلد، رئيس ايدج سيكيوريتي ذ.م.م، المعروف أيضًا على XDA باسم zx2c4، اكتشف ثغرة أمنية في الجهاز تسمح له بتشغيل أي صورة معدلة بشكل عشوائي يتجاوز تدابير حماية أداة تحميل التشغيل (مثل محمل الإقلاع المقفل). (يتطلب استغلال الثغرة الأمنية الوصول الفعلي إلى الجهاز.)

تتيح هذه الثغرة الأمنية للمهاجم إمكانية الوصول الفعلي والاتصال المقيد بجهاز الكمبيوتر للتحكم في الجهاز. إذا تم تعديل صورة التمهيد باستخدام ADB غير الآمن وADB كجذر افتراضيًا، فهذا يعني أن المهاجم لديه وصول فعلي سيكون لديك السيطرة الكاملة على الجهاز. على عكس المشهور"الباب الخلفي" (والذي لم يكن في الواقع بابًا خلفيًا) في هاتف OnePlus 5T، فإن استغلال هذه الثغرة الأمنية لا يتطلب من المستخدم تمكين تصحيح أخطاء USB بالفعل. وهذا يعني أن المهاجم يحتاج فقط إلى وضع يديه على الجهاز – وليس أكثر – للوصول الكامل إليه إذا استغل هذه الثغرة الأمنية في OnePlus 6.

تم الإبلاغ عن هذا الخطأ إلى العديد من مهندسي OnePlus وأكد جيسون دونينفيلد أن أحد أعضاء فريق الأمان قد قام بذلك اعترف بالتقرير. وسنتابع هذا الأمر حال توفر المزيد من المعلومات. نأمل أن يتم إصدار تصحيح لمحمل التشغيل بسرعة حتى يمكن حل هذه المشكلة.

التحديث 1: بيان ون بلس

قدم OnePlus بيانًا حول هذا الموضوع:

"نحن نأخذ الأمن على محمل الجد في OnePlus. نحن على اتصال بالباحث الأمني، وسيتم إصدار تحديث للبرنامج قريبًا." - المتحدث باسم OnePlus

سنستمر في متابعة هذا الموضوع وسنقوم بتحديثك بمجرد توفر تحديث للبرنامج.

التحديث 2: الإصلاح

بدأ OnePlus في طرح OxygenOS 5.1.7 لجهاز OnePlus 6 في 15 يونيو مع إصلاح لثغرة أداة تحميل التشغيل.

تم تحديث هذه المقالة لتعكس أن المهاجم يحتاج إلى الوصول الفعلي إلى الجهاز بالإضافة إلى اتصال مقيد بجهاز الكمبيوتر لاستغلال الثغرة الأمنية.