V bootloaderu OnePlus 6 byla objevena závažná chyba zabezpečení. Tento exploit, který vyžaduje fyzický přístup, obchází všechna bezpečnostní opatření.
Aktualizace 9. 6. 18 14:31 ČT: OnePlus vydalo prohlášení k tomuto tématu.
Aktualizace 15.6.18 10:47: OnePlus se začal zavádět OxygenOS 5.1.7 s opravou chyby zabezpečení bootloaderu.
OnePlus 6 byl učiněno oficiální v polovině minulého měsíce. Zařízení se teprve nedávno začalo dostávat do rukou spotřebitelů a vývojářů na našich fórech a už slyšíme o práci, která se dělá. An oficiální sestavení TWRP je již k dispozici a práce pokračují pěkně na neoficiálním LineageOS 15.1 GSI. OnePlus 6 nepřitahuje pozornost pouze uživatelů, kteří se o zařízení zajímají pro své osobní použití, resp projektů, protože bezpečnostní výzkumníci se začínají na zařízení blíže dívat, aby zjistili, co mohou nalézt.
Jeden takový výzkumník, Jason Donenfeld, prezident Edge Security LLC, také známý na XDA jako zx2c4, objevil na zařízení zranitelnost, která mu umožňuje zavést libovolný upravený obraz, který
obchází ochranná opatření bootloaderu (například uzamčený bootloader). (Zneužití této chyby zabezpečení vyžaduje fyzický přístup k zařízení.)Tato chyba zabezpečení umožňuje útočníkovi s fyzickým přístupem a tetherovaným připojením k PC převzít kontrolu nad zařízením. Pokud je spouštěcí obraz upraven s nezabezpečeným ADB a ADB jako root ve výchozím nastavení, pak útočník s fyzickým přístupem bude mít nad zařízením úplnou kontrolu. Na rozdíl od nechvalně známého"zadní dveře“ (což ve skutečnosti nebyla zadní vrátka) na OnePlus 5T, zneužití této chyby zabezpečení nevyžaduje, aby uživatel měl již povoleno ladění USB. To znamená, že útočníkovi stačí, aby se k zařízení dostal – a nic víc – aby k němu získal plný přístup, pokud tuto chybu zabezpečení na OnePlus 6 zneužije.
Chyba byla nahlášena několika inženýrům OnePlus a Jason Donenfeld potvrdil, že člen bezpečnostního týmu zprávu potvrdil. Jakmile budou k dispozici další informace, budeme se touto záležitostí dále zabývat. Doufáme, že bude brzy vydána oprava pro bootloader, aby bylo možné tento problém vyřešit.
Aktualizace 1: Prohlášení OnePlus
OnePlus nabídl prohlášení k této záležitosti:
„Bezpečnost ve OnePlus bereme vážně. Jsme v kontaktu s bezpečnostním výzkumníkem a v brzké době bude spuštěna aktualizace softwaru." - Mluvčí OnePlus
Toto téma budeme nadále sledovat a aktualizujeme vás, jakmile bude k dispozici aktualizace softwaru.
Aktualizace 2: Oprava
OnePlus začalo 15. června zavádět OxygenOS 5.1.7 pro OnePlus 6 oprava kvůli zranitelnosti bootloaderu.
Tento článek byl aktualizován, aby odrážel, že útočník potřebuje fyzický přístup k zařízení a také tetherované připojení k počítači, aby mohl tuto chybu zabezpečení zneužít.