Z telefonů OnePlus se systémem OxygenOS uniká IMEI vašeho telefonu, kdykoli váš telefon hledá aktualizaci. Telefon používá nezabezpečený požadavek HTTP POST.
The Jedna plus jedna byl jedním z prvních smartphonů Android, který dokázal, že spotřebitelé nepotřebují za vlajkovou loď utratit více než 600 $. Jinými slovy, i za nižší cenu byste měli nikdy se neusadit za nákup podřadného produktu.
Stále si pamatuji humbuk kolem odhalení specifikace pro OnePlus One – společnost využila fanatismu projeveného nadšenci pro Android, když došlo na úniky. OnePlus se rozhodl pomalu odhalovat specifikace telefonu jeden po druhém několik týdnů před oficiálním uvedením na trh – a fungovalo to.
V té době se nám sbíhaly sliny nad používáním telefonu Snapdragon 801 s 5,5" 1080p displejem i nad velmi lákavým partnerstvím s začínajícím startupem Cyanogen Inc. (z nichž byli nadšenci pro Android velmi nadšený kvůli popularitě CyanogenMod). A pak OnePlus uvrhlo na nás všechny největší bombu – počáteční cenu 299 dolarů. Pouze jeden další telefon mě skutečně ohromil svou cenou – Nexus 5 – a další
OnePlus One to sfouklo z vody. Pamatuji si mnoho nadšenců pro Nexus, kteří se zmítali mezi upgradem na OnePlus One nebo čekáním na vydání dalšího Nexusu.Ale pak OnePlus vytvořilo série rozhodnutí že ačkoli některé byly ekonomicky ospravedlnitelné, zabilo to pro značku mezi nadšenci pro Android určitý impuls. Nejprve to byla kontroverze kolem zvacího systému, pak přišly kontroverzní reklamy a vypadnutí s Cyanogenem, pak společnost za to dostala určitou nenávist OnePlus 2 uvolnění, které v očích mnoha lidí nedokázal žít na jeho přezdívku „Zabiják vlajkových lodí“ a Konečně tam je zrzavé nevlastní dítě OnePlus X smartphone, který byl teprve přijat Android Marshmallow A před pár dny.
Dva kroky vpřed, jeden krok vzad
Ke cti OnePlus, společnost dokázala oživit humbuk obklopující své produkty s OnePlus 3. Tentokrát se OnePlus nejenom postaral o vyřešení mnoha stížností, které recenzenti a uživatelé měli vůči OnePlus 2, ale dokonce šel nad rámec řešení stížností na včasné přezkoumání a zveřejnění zdrojového kódu pro vlastní vývojáře ROM. OnePlus opět vytvořil produkt, který je dostatečně přesvědčivý na to, abych přehodnotil čekání na vydání dalšího telefonu Nexus a několik členů našeho personálu si ho koupilo (nebo dva) pro ně. Ale je tu jeden problém, kterého se někteří naši zaměstnanci obávají – software. Jsme docela rozděleni v tom, jak používáme naše telefony – někteří z nás žijí na hraně a flashují vlastní ROM jako Neoficiální Cyanogenmod 13 od sultanxda pro OnePlus 3, zatímco ostatní spouštějí na svém zařízení pouze základní firmware. Mezi našimi zaměstnanci panuje určitá neshoda ohledně kvality nedávno vydaného Sestavení komunity OxygenOS 3.5 (které prozkoumáme v budoucím článku), ale je tu jeden problém, na kterém se všichni shodneme: naprostý zmatek nad tím, že OnePlus používá HTTP k přenosu vašeho IMEI při kontrole aktualizací softwaru.
Ano, čtete správně. Vaše IMEI, číslo, které jedinečně identifikuje váš konkrétní telefon, je poslán nešifrované na servery OnePlus, když váš telefon hledá aktualizaci (s uživatelským vstupem nebo bez něj). To znamená, že kdokoli naslouchá síťovému provozu ve vaší síti (nebo aniž byste o tom věděli, když si prohlížíte naše fóra při připojení k veřejnému hotspotu) mohou získat vaše IMEI, pokud se váš telefon (nebo vy) rozhodnete, že je čas zkontrolovat Aktualizace.
Člen týmu portálu XDA a bývalý moderátor fóra, b1nny, objevil problém zachycení provozu jeho zařízení použitím mitmproxy a zveřejnil o tom na fórech OnePlus zpět 4. července. Po dalším zkoumání toho, co se děje, když jeho OnePlus 3 zjišťoval aktualizaci, zjistil b1nny, že OnePlus nevyžaduje platný IMEI nabídnout uživateli aktualizaci. Aby to dokázal, b1nny použil a Aplikace pro Chrome s názvem Postman odeslat požadavek HTTP POST na aktualizační server OnePlus a upravit jeho IMEI s odpadními daty. Server přesto vrátil aktualizační balíček podle očekávání. b1nny provedl další zjištění týkající se procesu OTA (například skutečnost, že aktualizační servery jsou sdíleny s Oppo), ale nejvíce znepokojující byla skutečnost, že byl přenášen tento jedinečný identifikátor zařízení HTTP.
Žádná oprava zatím v nedohlednu
Po zjištění bezpečnostního problému provedl b1nny náležitou péči a pokusil se oba kontaktovat Moderátoři fóra OnePlus a zástupci zákaznických služeb kteří by mohli být schopni předat problém v řetězci příslušným týmům. Moderátor tvrdil, že vydání bude předáno; nemohl však obdržet žádné potvrzení, že problém byl prověřován. Když byl problém původně upozorněn Redditors na /r/Android subreddit, mnozí byli znepokojeni, ale byli si jisti, že problém bude rychle vyřešen. Na portálu XDA jsme také věřili, že nezabezpečená metoda HTTP POST používaná pro ping na OTA server pro aktualizaci bude nakonec opravena. Počáteční zjištění problému bylo na OxygenOS verze 3.2.1 operačního systému (ačkoli mohl existovat v předchozích verzích jako no), ale b1nny nám včera potvrdil, že problém stále přetrvává na nejnovější stabilní verzi Oxygen OS: verze 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
S nedávným vydáním komunitního sestavení OxygenOS 3.5 jsme však byli opět zvědaví, zda problém přetrvává. V souvislosti s tímto problémem jsme se obrátili na OnePlus a mluvčí společnosti nám řekl, že problém byl skutečně opraven. Nicméně jsme nechali jednoho z našich členů portálu flashnout nejnovější komunitu a použít mitmproxy k zachycení síťového provozu jeho OnePlus 3 ak našemu překvapení jsme zjistili, že OxygenOS stále odesílal IMEI v požadavku HTTP POST na aktualizační server.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
To, navzdory zjevnému potvrzení, že problém byl vyřešen, nás v XDA hluboce znepokojuje. Pro OnePlus nedává smysl používat HTTP k odesílání požadavku na své servery, pokud chtějí udělat je použít naše IMEI pro účely dolování dat, pak by to pravděpodobně mohli udělat mnohem bezpečněji metoda.
Úniky IMEI a vy
Nic tam není podstatně nebezpečné pro únik vašeho IMEI přes veřejnou síť. Přestože jedinečně identifikuje vaše zařízení, existují další jedinečné identifikátory, které by mohly být zneužity. Aplikace mohou požádat o přístup abyste snadno viděli IMEI vašeho zařízení. Tak o co jde? V závislosti na tom, kde žijete, může vaše IMEI použít ke sledování vláda nebo hacker, který se o vás zjevně dostatečně zajímá. Ale to nejsou pro běžného uživatele žádné obavy.
Největším potenciálním problémem by mohlo být nezákonné použití vašeho IMEI: včetně, ale bez omezení, uvedení vašeho IMEI na černou listinu nebo klonování IMEI pro použití v telefonu na černém trhu. Pokud by nastal kterýkoli scénář, mohlo by to být obrovské nepříjemnosti vyhrabat se z této díry. Další potenciální problém se týká aplikací, které stále používají vaše IMEI jako identifikátor. Whatsapp například používal MD5-hash, obrácená verze vašeho IMEI jako hesla vašeho účtu. Po rozhlédnutí online některé stinné weby tvrdí, že jsou schopny hacknout účty Whatsapp pomocí telefonního čísla a IMEI, ale nemohu je ověřit.
Ještě pořád, je důležité chránit veškeré informace, které jedinečně identifikují vás nebo vaše zařízení. Pokud jsou pro vás důležité otázky ochrany osobních údajů, pak by vás tato praxe OnePlus měla znepokojovat. Doufáme, že tento článek slouží k tomu, abychom vás informovali o potenciálních bezpečnostních důsledcích za tím praxi a upozornit na tuto situaci (ještě jednou) společnost OnePlus, aby mohla být opravena okamžitě.