OnePlus-Telefone mit OxygenOS geben die IMEI Ihres Telefons preis, wenn Ihr Telefon nach einem Update sucht. Das Telefon verwendet eine unsichere HTTP-POST-Anfrage.
Der Eins plus eins war eines der ersten Android-Smartphones, das bewies, dass Verbraucher für ein Flaggschiff-Erlebnis nicht mehr als 600 US-Dollar ausgeben mussten. Mit anderen Worten: Auch zu einem niedrigeren Preis sollten Sie das tun nie zufrieden geben für den Kauf eines minderwertigen Produkts.
Ich kann mich noch an den Hype um die Spezifikationsveröffentlichung des OnePlus One erinnern – das Unternehmen nutzte den Fanatismus von Android-Enthusiasten, wenn es um Leaks ging. OnePlus beschloss, einige Wochen vor dem offiziellen Start langsam die Spezifikationen des Telefons einzeln zu enthüllen – und es funktionierte.
Damals waren wir begeistert von der Verwendung des Snapdragon 801 mit einem 5,5-Zoll-1080p-Display sowie der sehr verlockenden Partnerschaft mit dem jungen Startup Cyanogen Inc. (von denen Android-Enthusiasten waren
Aber dann hat OnePlus eine gemacht Reihe von Entscheidungen Obwohl einige davon wirtschaftlich vertretbar waren, hat dies der Marke bei Android-Enthusiasten etwas den Schwung geraubt. Zuerst war es die Kontroverse um das Einladungssystem, dann kamen die umstrittenen Anzeigen und Ausfallen mit Cyanogen, Dann Das Unternehmen erhielt dafür etwas Hass OnePlus 2 Veröffentlichung, die in den Augen vieler Menschen konnte nicht leben zu seinem Spitznamen „Flagship Killer“ und Endlich Da ist das rothaarige Stiefkind OnePlus X Smartphone, das ich gerade erst erhalten habe Android Marshmallow A vor ein paar Tagen.
Zwei Schritte vorwärts, ein Schritt zurück
Man muss OnePlus anerkennen, dass das Unternehmen dazu in der Lage war den Hype wieder aufleben lassen umgibt seine Produkte mit dem OnePlus 3. Dieses Mal hat OnePlus nicht nur dafür gesorgt, dass viele der Beschwerden, die Rezensenten und Benutzer gegen das OnePlus 2 hatten, berücksichtigt wurden, sondern ging sogar darüber hinaus Bearbeitung früher Überprüfungsbeschwerden Und Veröffentlichung des Quellcodes für benutzerdefinierte ROM-Entwickler. Wieder einmal hat OnePlus ein Produkt geschaffen, das so überzeugend ist, dass ich es mir noch einmal überlege, auf die Veröffentlichung des nächsten Nexus-Telefons zu warten, und dass mehrere unserer Mitarbeiter eines kaufen (oder zwei) für sich selbst. Es gibt jedoch ein Problem, das einige unserer Mitarbeiter beunruhigt: die Software. Wir sind uns ziemlich uneinig darüber, wie wir unsere Telefone nutzen – einige von uns leben auf dem neuesten Stand und mögen Flash-Custom-ROMs Sultanxdas inoffizieller Cyanogenmod 13 für das OnePlus 3, während andere nur die Standard-Firmware auf ihrem Gerät ausführen. Unter unseren Mitarbeitern herrscht Uneinigkeit über die Qualität der kürzlich veröffentlichten Inhalte OxygenOS 3.5-Community-Build (auf das wir in einem zukünftigen Artikel näher eingehen werden), aber in einem Punkt sind wir uns alle einig: völlige Verwirrung darüber, dass OnePlus verwendet HTTP, um Ihre IMEI zu übertragen und gleichzeitig nach Software-Updates zu suchen.
Ja, das hast du richtig gelesen. Ihre IMEI, die Nummer, die identifiziert Ihr bestimmtes Telefon eindeutig, wird gesendet unverschlüsselt an die Server von OnePlus, wenn Ihr Telefon nach einem Update sucht (mit oder ohne Benutzereingabe). Dies bedeutet, dass jeder, der den Netzwerkverkehr in Ihrem Netzwerk mithört (oder ohne Ihr Wissen, während Sie auf unseren Websites surfen). Foren, während Sie mit einem öffentlichen Hotspot verbunden sind) können Ihre IMEI abrufen, wenn Ihr Telefon (oder Sie) entscheidet, dass es Zeit ist, nach einer zu suchen aktualisieren.
Mitglied des XDA-Portal-Teams und ehemaliger Forum-Moderator, b1nny, entdeckte das Problem von den Datenverkehr seines Geräts abfangen verwenden mitmproxy und darüber in den OnePlus-Foren gepostet zurück am 4. Juli. Nachdem b1nny noch genauer untersucht hatte, was passierte, als sein OnePlus 3 nach einem Update suchte, fand er das OnePlus erfordert keine gültige IMEI um dem Benutzer ein Update anzubieten. Um dies zu beweisen, verwendete b1nny a Chrome-App namens Postman um eine HTTP-POST-Anfrage an den Update-Server von OnePlus zu senden und seine IMEI mit Mülldaten zu bearbeiten. Der Kellner Trotzdem wurde das Update-Paket wie erwartet zurückgegeben. b1nny hat weitere Entdeckungen bezüglich des OTA-Prozesses gemacht (z. B. die Tatsache, dass die Update-Server mit geteilt werden). Oppo), aber das Besorgniserregendste war die Tatsache, dass diese eindeutige Gerätekennung übertragen wurde HTTP.
Noch keine Lösung in Sicht
Nachdem b1nny das Sicherheitsproblem entdeckt hatte, prüfte er sorgfältig und versuchte, beide zu kontaktieren Moderatoren des OnePlus-Forums Und Mitarbeiter beim Kundenservice Wer könnte in der Lage sein, das Problem weiter oben in der Kette an die entsprechenden Teams weiterzuleiten? Ein Moderator behauptete, dass das Problem weitergegeben würde; Er konnte jedoch keine Bestätigung erhalten, dass das Problem untersucht wurde. Als die Redditoren erstmals im Subreddit /r/Android auf das Problem aufmerksam gemacht wurden, waren viele besorgt, waren aber zuversichtlich, dass das Problem schnell gelöst werden würde. Auch wir beim XDA-Portal glaubten, dass die unsichere HTTP-POST-Methode, die zum Pingen des OTA-Servers für ein Update verwendet wird, irgendwann behoben werden würde. Die erste Entdeckung des Problems erfolgte bei OxygenOS Version 3.2.1 des Betriebssystems (obwohl es auch in früheren Versionen vorhanden gewesen sein könnte). Nun ja), aber b1nny hat uns gestern bestätigt, dass das Problem weiterhin auf der neuesten stabilen Version von Oxygen OS besteht: Version 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Mit der jüngsten Veröffentlichung des OxygenOS 3.5-Community-Builds waren wir jedoch erneut neugierig, ob das Problem weiterhin besteht. Wir haben uns bezüglich dieses Problems an OnePlus gewandt und wurden von einem Sprecher des Unternehmens darüber informiert, dass das Problem tatsächlich behoben wurde. Allerdings ließen wir eines unserer Portalmitglieder den neuesten Community-Build flashen und mitmproxy verwenden, um den Netzwerkverkehr seines OnePlus 3 abzufangen, und zu unserer Überraschung stellten wir das fest OxygenOS sendete immer noch eine IMEI in der HTTP-POST-Anfrage an den Update-Server.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Dies beunruhigt uns bei XDA trotz der offensichtlichen Bestätigung, dass das Problem gelöst wurde. Es macht für OnePlus keinen Sinn, HTTP zu verwenden, um eine Anfrage an seine Server zu senden, wenn das Unternehmen das unbedingt möchte Wenn Sie unsere IMEI für Data-Mining-Zwecke verwenden, könnten Sie dies wahrscheinlich auf eine viel sicherere Weise tun Methode.
IMEI-Lecks und Sie
Da ist nichts im Wesentlichen Es ist gefährlich, dass Ihre IMEI über ein öffentliches Netzwerk durchsickert. Obwohl es Ihr Gerät eindeutig identifiziert, gibt es andere eindeutige Kennungen, die in böswilliger Absicht verwendet werden könnten. Anwendungen können Zugriff anfordern um ganz einfach die IMEI Ihres Geräts zu sehen. Was ist also das Problem? Je nachdem, wo Sie leben, könnte Ihre IMEI von der Regierung oder einem Hacker, der offensichtlich genug an Ihnen interessiert ist, verwendet werden, um Sie zu verfolgen. Für den durchschnittlichen Benutzer sind das jedoch keine wirklichen Bedenken.
Das größte potenzielle Problem könnte die illegale Verwendung Ihrer IMEI sein: Dazu gehört unter anderem das Setzen Ihrer IMEI auf die schwarze Liste oder das Klonen der IMEI zur Verwendung auf einem Schwarzmarkttelefon. Sollte eines der beiden Szenarios eintreten, könnte es eine enorme Unannehmlichkeit sein, aus diesem Loch herauszukommen. Ein weiteres potenzielles Problem betrifft Anwendungen, die Ihre IMEI weiterhin als Kennung verwenden. WhatsApp zum Beispiel verwendete früher eine MD5-gehashte, umgekehrte Version Geben Sie Ihre IMEI als Passwort für Ihr Konto ein. Nachdem ich mich online umgesehen habe, behaupten einige zwielichtige Websites, dass sie WhatsApp-Konten mithilfe einer Telefonnummer und IMEI hacken können, aber ich kann sie nicht überprüfen.
Trotzdem, Es ist wichtig, alle Informationen zu schützen, die Sie oder Ihre Geräte eindeutig identifizieren. Wenn Datenschutzfragen für Sie wichtig sind, sollte diese Vorgehensweise von OnePlus besorgniserregend sein. Wir hoffen, dass dieser Artikel dazu dient, Sie über die möglichen Sicherheitsauswirkungen dahinter zu informieren zu üben und OnePlus (noch einmal) auf diese Situation aufmerksam zu machen, damit sie behoben werden kann sofort.