OnePlus-telefoner, der kører OxygenOS, lækker din telefons IMEI, hver gang din telefon søger efter en opdatering. Telefonen bruger en usikker HTTP POST-anmodning.
Det OnePlus One var en af de første Android-smartphones, der beviste, at forbrugerne ikke behøvede at betale $600+ for en flagskibsoplevelse. Med andre ord, selv til en lavere pris bør du aldrig slå sig ned for at købe et dårligere produkt.
Jeg kan stadig huske hypen omkring specifikationsafsløringen for OnePlus One - virksomheden udnyttede den fanatisme, som Android-entusiaster udviste, når det kom til lækager. OnePlus besluttede sig for langsomt at løfte sløret for telefonens specifikationer én for én i et par uger forud for den officielle lancering – og det virkede.
På det tidspunkt savlede vi over telefonens brug af Snapdragon 801 med en 5,5" 1080p-skærm samt det meget lokkende partnerskab med den spæde startup Cyanogen Inc. (hvoraf Android-entusiaster var meget begejstret på grund af CyanogenMods popularitet). Og så kastede OnePlus den største bombe over os alle – startprisen på $299. Kun én anden telefon havde virkelig overrasket mig for dens omkostningseffektivitet - Nexus 5 - og
OnePlus One blæste den op af vandet. Jeg husker mange Nexus-entusiaster, der var splittet mellem at lave en opgradering til OnePlus One eller vente på udgivelsen af den næste Nexus.Men så lavede OnePlus en række beslutninger der, selvom nogle var økonomisk forsvarlige, dræbte noget momentum for brandet blandt Android-entusiaster. Først var det polemikken omkring invitationssystemet, så kom de kontroversielle annoncer og falder ud med Cyanogen, derefter virksomheden modtog noget had til OnePlus 2 frigivelse som i manges øjne undlod at leve op til dens "Flagship Killer" moniker, og endelig der er det rødhårede stedbarn OnePlus X smartphone som først lige har modtaget Android Marshmallow -en få dage siden.
To skridt frem, et skridt tilbage
Til OnePlus' ære kunne selskabet genoplive hypen omgiver sine produkter med OnePlus 3. Denne gang sørgede OnePlus ikke kun for at behandle mange af de klager, anmeldere og brugere havde mod OnePlus 2, men gik endda ud over behandling af klager over tidlig revision og frigivelse af kildekode til brugerdefinerede ROM-udviklere. Endnu en gang har OnePlus skabt et produkt, der er overbevisende nok til at få mig til at genoverveje at vente på udgivelsen af den næste Nexus-telefon, og få flere medlemmer af vores personale til at købe en (eller to) for dem selv. Men der er et problem, som nogle af vores medarbejdere er på vagt over for - softwaren. Vi er ret uenige om, hvordan vi bruger vores telefoner - nogle af os lever på den bløde kant og flasher tilpassede ROM'er som f.eks. sultanxdas uofficielle Cyanogenmod 13 til OnePlus 3, mens andre kun kører lagerfirmwaren på deres enhed. Blandt vores medarbejdere er der en vis uenighed om kvaliteten af de nyligt udgivne OxygenOS 3.5 community build (som vi vil udforske i en fremtidig artikel), men der er et spørgsmål, som vi alle er enige om: fuldstændig forvirring over det faktum, at OnePlus bruger HTTP til at overføre dit IMEI, mens du søger efter softwareopdateringer.
Ja, du læste rigtigt. Dit IMEI, nummeret der identificerer entydigt din telefon, er sendt ukrypteret til OnePlus' servere, når din telefon søger efter en opdatering (med eller uden brugerinput). Det betyder, at enhver, der lytter med på netværkstrafikken i dit netværk (eller uden at du ved det, mens du gennemser vores fora, mens du er tilsluttet et offentligt hotspot) kan få fat i din IMEI, hvis din telefon (eller du) beslutter, at det er tid til at tjekke efter en opdatering.
XDA Portal Team medlem og tidligere Forum Moderator, b1nny, opdagede problemet af opsnapper sin enheds trafik ved brug af mitmproxy og skrev om det på OnePlus-foraerne tilbage den 4. juli. Efter at have gravet lidt mere i, hvad der foregik, da hans OnePlus 3 søgte efter en opdatering, fandt b1nny ud af, at OnePlus kræver ikke en gyldig IMEI at tilbyde en opdatering til brugeren. For at bevise dette brugte b1nny en Chrome-app kaldet Postman at sende en HTTP POST-anmodning til OnePlus' opdateringsserver og redigerede hans IMEI med skralddata. Serveren returnerede stadig opdateringspakken som forventet. b1nny gjorde andre opdagelser vedrørende OTA-processen (såsom det faktum, at opdateringsserverne deles med Oppo), men det mest bekymrende var det faktum, at denne unikke enhedsidentifikator blev overført HTTP.
Ingen rettelse i sigte endnu
Efter at have opdaget sikkerhedsproblemet, gjorde b1nny sin due diligence og forsøgte at kontakte begge OnePlus forum moderatorer og kundeservicemedarbejdere som måske kan videresende spørgsmålet op i kæden til de relevante teams. En moderator hævdede, at det udstedte ville blive videregivet; han var dog ikke i stand til at modtage nogen bekræftelse på, at problemet blev undersøgt. Da problemet oprindeligt blev gjort opmærksom på Redditors på /r/Android subreddit, var mange bekymrede, men var overbeviste om, at problemet ville blive løst hurtigt. På XDA-portalen troede vi også, at den usikre HTTP POST-metode, der blev brugt til at pinge OTA-serveren for en opdatering, til sidst ville blive rettet. Den første opdagelse af problemet var på OxygenOS version 3.2.1 af operativsystemet (selvom det kunne have eksisteret i tidligere versioner som godt), men b1nny bekræftede med os i går, at problemet stadig fortsætter på den seneste stabile version af Oxygen OS: version 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Men med den nylige udgivelse af OxygenOS 3.5 community build var vi igen nysgerrige efter at se, om problemet fortsatte. Vi kontaktede OnePlus angående dette problem og fik at vide af en talsmand fra virksomheden, at problemet faktisk var blevet rettet. Vi fik dog et af vores portalmedlemmer til at flashe den seneste fællesskabsopbygning og bruge mitmproxy til at opsnappe sin OnePlus 3's netværkstrafik, og til vores overraskelse opdagede vi, at OxygenOS sendte stadig en IMEI i HTTP POST-anmodningen til opdateringsserveren.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Dette, på trods af den tilsyneladende bekræftelse af, at problemet blev løst, bekymrer os dybt hos XDA. Det giver ikke mening for OnePlus at bruge HTTP til at sende en anmodning til dens servere, hvis alle vil er at bruge vores IMEI til data mining-formål, så kunne de sandsynligvis gøre det på en meget mere sikker måde metode.
IMEI-lækager og dig
Der er ingenting væsentligt farligt ved, at dit IMEI lækker over et offentligt netværk. Selvom det entydigt identificerer din enhed, er der andre unikke identifikatorer, der kan bruges ondsindet. Applikationer kan anmode om adgang for at se din enheds IMEI ret nemt. Så hvad er problemet? Afhængigt af hvor du bor, kan dit IMEI blive brugt til at spore dig af regeringen eller en hacker, der tilsyneladende er interesseret nok i dig. Men det er ikke rigtig bekymringer for den gennemsnitlige bruger.
Det største potentielle problem kan være ulovlig brug af din IMEI: herunder, men ikke begrænset til, sortliste af din IMEI eller kloning af IMEI, der skal bruges på en sortmarkedstelefon. Hvis et af scenarierne opstod, kan det være en enorm besvær at grave dig ud af dette hul. Et andet potentielt problem er applikationer, der stadig bruger din IMEI som en identifikator. Whatsapp plejede for eksempel at bruge en MD5-hashed, omvendt version af din IMEI som din kontos adgangskode. Efter at have kigget rundt på nettet hævder nogle lyssky websteder at være i stand til at hacke Whatsapp-konti ved hjælp af et telefonnummer og IMEI, men jeg kan ikke bekræfte dem.
Stadig, det er vigtigt at beskytte enhver information, der unikt identificerer dig eller dine enheder. Hvis privatlivsspørgsmål er vigtige for dig, bør denne praksis fra OnePlus være bekymrende. Vi håber, at denne artikel tjener til at informere dig om disse potentielle sikkerhedsimplikationer bag dette øve sig, og gøre OnePlus opmærksom på denne situation (endnu en gang), så den kan blive rettet prompte.