Τα τηλέφωνα OnePlus που διαθέτουν OxygenOS διαρρέουν το IMEI του τηλεφώνου σας κάθε φορά που το τηλέφωνό σας ελέγχει για ενημέρωση. Το τηλέφωνο χρησιμοποιεί ένα μη ασφαλές αίτημα HTTP POST.
ο Ενα συν ένα ήταν ένα από τα πρώτα smartphone Android που απέδειξε ότι οι καταναλωτές δεν χρειαζόταν να πληρώσουν $600+ για μια εμβληματική εμπειρία. Με άλλα λόγια, ακόμη και σε χαμηλότερη τιμή θα πρέπει ποτέ δεν εγκατασταθεί για την αγορά ενός κατώτερου προϊόντος.
Εξακολουθώ να θυμάμαι τη διαφημιστική εκστρατεία γύρω από την αποκάλυψη προδιαγραφών για το OnePlus One - η εταιρεία κεφαλαιοποίησε τον φανατισμό που επιδεικνύουν οι λάτρεις του Android όταν επρόκειτο για διαρροές. Η OnePlus αποφάσισε να αποκαλύψει σιγά σιγά τις προδιαγραφές του τηλεφώνου μία προς μία για μερικές εβδομάδες πριν από την επίσημη κυκλοφορία - και λειτούργησε.
Εκείνη την εποχή, είχαμε σάλια από τη χρήση του Snapdragon 801 από το τηλέφωνο με οθόνη 5,5" 1080p, καθώς και από την πολύ δελεαστική συνεργασία με τη νεοσύστατη εταιρεία Cyanogen Inc. (από τους οποίους ήταν οι λάτρεις του Android
Στη συνέχεια όμως η OnePlus έκανε ένα σειρά αποφάσεων Αυτό, αν και ορισμένα ήταν οικονομικά δικαιολογημένα, σκότωσε κάποια δυναμική για την επωνυμία μεταξύ των ενθουσιωδών Android. Πρώτα ήταν η διαμάχη γύρω από το σύστημα προσκλήσεων, μετά ήρθαν οι αμφιλεγόμενες διαφημίσεις και έπεσε έξω με το Cyanogen, έπειτα η εταιρεία έλαβε κάποιο μίσος για το OnePlus 2 απελευθέρωση που στα μάτια πολλών ανθρώπων απέτυχε να ζήσει στο παρατσούκλι "Flagship Killer" και τελικά εκεί είναι το κοκκινομάλλα θετό παιδί OnePlus X smartphone που μόλις έλαβε Android Marshmallow ένα πριν ΛΙΓΕΣ μερες.
Δύο βήματα μπροστά, ένα βήμα πίσω
Προς τιμή της OnePlus, η εταιρεία μπόρεσε αναζωπυρώσει τη διαφημιστική εκστρατεία που περιβάλλει τα προϊόντα της με το OnePlus 3. Αυτή τη φορά, η OnePlus όχι μόνο φρόντισε να αντιμετωπίσει πολλά από τα παράπονα που είχαν οι αναθεωρητές και οι χρήστες κατά του OnePlus 2, αλλά και το ξεπέρασε. αντιμετώπιση καταγγελιών έγκαιρης επανεξέτασης και απελευθέρωση του πηγαίου κώδικα για προγραμματιστές προσαρμοσμένης ROM. Για άλλη μια φορά, η OnePlus δημιούργησε ένα προϊόν αρκετά συναρπαστικό ώστε να με κάνει να αναθεωρήσω την αναμονή για την κυκλοφορία του επόμενου τηλεφώνου Nexus και να ζητήσω από πολλά μέλη του προσωπικού μας να αγοράσουν ένα (ή δύο) για τους εαυτούς τους. Αλλά υπάρχει ένα θέμα για το οποίο κάποιο από το προσωπικό μας είναι επιφυλακτικό - το λογισμικό. Είμαστε αρκετά διχασμένοι σχετικά με τον τρόπο που χρησιμοποιούμε τα τηλέφωνά μας - μερικοί από εμάς ζούμε στην αιμορραγία και αναβοσβήνουν προσαρμοσμένες ROM όπως Το ανεπίσημο Cyanogenmod 13 του sultanxda για το OnePlus 3, ενώ άλλοι εκτελούν μόνο το stock firmware στη συσκευή τους. Μεταξύ του προσωπικού μας, υπάρχει κάποια διαφωνία σχετικά με την ποιότητα του πρόσφατα κυκλοφόρησε Δημιουργία κοινότητας OxygenOS 3.5 (το οποίο θα διερευνήσουμε σε επόμενο άρθρο), αλλά υπάρχει ένα θέμα στο οποίο όλοι συμφωνούμε: απόλυτη αμηχανία για το γεγονός ότι το OnePlus χρησιμοποιεί το HTTP για τη μετάδοση του IMEI σας ενώ ελέγχει για ενημερώσεις λογισμικού.
Ναι, το διάβασες σωστά. Το IMEI σας, ο αριθμός που προσδιορίζει μοναδικά το συγκεκριμένο τηλέφωνό σας, έχει αποσταλεί μη κρυπτογραφημένη στους διακομιστές της OnePlus όταν το τηλέφωνό σας ελέγχει για ενημέρωση (με ή χωρίς είσοδο χρήστη). Αυτό σημαίνει ότι οποιοσδήποτε ακούει την κίνηση του δικτύου στο δίκτυό σας (ή εν αγνοία σας, ενώ περιηγείστε στο φόρουμ ενώ είναι συνδεδεμένα σε δημόσιο σημείο πρόσβασης) μπορούν να πάρουν το IMEI σας εάν το τηλέφωνό σας (ή εσείς) αποφασίσετε ότι είναι ώρα να ελέγξετε για εκσυγχρονίζω.
Μέλος της ομάδας XDA Portal και πρώην συντονιστής του φόρουμ, b1nny, ανακάλυψε το ζήτημα από παρεμποδίζοντας την κυκλοφορία της συσκευής του χρησιμοποιώντας mitmproxy και δημοσίευσε σχετικά στα φόρουμ του OnePlus πίσω στις 4 Ιουλίου. Αφού έκανε περαιτέρω έρευνα για το τι συνέβαινε όταν το OnePlus 3 του έλεγχε για ενημέρωση, ο b1nny διαπίστωσε ότι το OnePlus δεν απαιτεί έγκυρο IMEI για να προσφέρει μια ενημέρωση στον χρήστη. Για να το αποδείξει αυτό, ο b1nny χρησιμοποίησε ένα Εφαρμογή Chrome που ονομάζεται Postman να στείλει ένα αίτημα HTTP POST στον διακομιστή ενημέρωσης της OnePlus και να επεξεργαστεί το IMEI του με δεδομένα σκουπιδιών. Ο διακομιστής επέστρεψε το πακέτο ενημέρωσης όπως αναμενόταν. Ο b1nny έκανε άλλες ανακαλύψεις σχετικά με τη διαδικασία OTA (όπως το γεγονός ότι οι διακομιστές ενημέρωσης είναι κοινόχρηστοι με Oppo), αλλά το πιο ανησυχητικό ήταν το γεγονός ότι αυτό το μοναδικό αναγνωριστικό συσκευής μεταδιδόταν HTTP.
Καμία επιδιόρθωση ακόμη
Αφού ανακάλυψε το ζήτημα ασφαλείας, ο b1nny έκανε τη δέουσα επιμέλεια και προσπάθησε να επικοινωνήσει και με τους δύο Επόπτες φόρουμ OnePlus και εκπρόσωποι εξυπηρέτησης πελατών ο οποίος μπορεί να είναι σε θέση να προωθήσει το ζήτημα στην αλυσίδα στις σχετικές ομάδες. Ένας συντονιστής ισχυρίστηκε ότι η έκδοση θα μεταβιβαζόταν. Ωστόσο, δεν μπόρεσε να λάβει καμία επιβεβαίωση ότι το ζήτημα ήταν υπό εξέταση. Όταν το ζήτημα τέθηκε αρχικά υπόψη των Redditors στο /r/Android subreddit, πολλοί ανησυχούσαν αλλά ήταν βέβαιοι ότι το ζήτημα θα επιλυόταν γρήγορα. Στο XDA Portal, πιστεύαμε και εμείς ότι η μη ασφαλής μέθοδος HTTP POST που χρησιμοποιήθηκε για την αποστολή ping στον διακομιστή OTA για μια ενημέρωση θα διορθωθεί τελικά. Η αρχική ανακάλυψη του ζητήματος ήταν στην έκδοση OxygenOS 3.2.1 του λειτουργικού συστήματος (αν και θα μπορούσε να υπήρχε σε προηγούμενες εκδόσεις ως καλά), αλλά ο b1nny επιβεβαίωσε μαζί μας χθες ότι το πρόβλημα εξακολουθεί να υφίσταται στην τελευταία σταθερή έκδοση του Oxygen OS: έκδοση 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Ωστόσο, με την πρόσφατη έκδοση της έκδοσης της κοινότητας OxygenOS 3.5 ήμασταν και πάλι περίεργοι να δούμε αν το πρόβλημα παρέμεινε. Επικοινωνήσαμε με την OnePlus σχετικά με αυτό το ζήτημα και μας είπε ένας εκπρόσωπος της εταιρείας ότι το ζήτημα είχε όντως διορθωθεί. Ωστόσο, είχαμε ένα από τα μέλη της πύλης μας να αναβοσβήνει την πιο πρόσφατη δημιουργία κοινότητας και να χρησιμοποιήσει το mitmproxy για να υποκλέψει την κυκλοφορία δικτύου του OnePlus 3 και προς έκπληξή μας ανακαλύψαμε ότι Το OxygenOS εξακολουθούσε να στέλνει ένα IMEI στο αίτημα HTTP POST στον διακομιστή ενημέρωσης.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Αυτό, παρά την προφανή επιβεβαίωση ότι το ζήτημα επιλύθηκε, μας ανησυχεί βαθιά στο XDA. Δεν έχει νόημα η OnePlus να χρησιμοποιεί HTTP για να στείλει ένα αίτημα στους διακομιστές της, αν το μόνο που θέλουν να χρησιμοποιήσουν το IMEI μας για σκοπούς εξόρυξης δεδομένων, τότε θα μπορούσαν πιθανώς να το κάνουν με πολύ πιο ασφαλή τρόπο μέθοδος.
IMEI Leaks and You
Δεν υπάρχει τίποτα ουσιαστικά επικίνδυνο για διαρροή του IMEI σας μέσω δημόσιου δικτύου. Αν και προσδιορίζει μοναδικά τη συσκευή σας, υπάρχουν και άλλα μοναδικά αναγνωριστικά που θα μπορούσαν να χρησιμοποιηθούν κακόβουλα. Οι εφαρμογές μπορούν να ζητήσουν πρόσβαση για να δείτε το IMEI της συσκευής σας αρκετά εύκολα. Ποιο είναι λοιπόν το θέμα; Ανάλογα με το πού ζείτε, το IMEI σας θα μπορούσε να χρησιμοποιηθεί για την παρακολούθηση σας από την κυβέρνηση ή από έναν χάκερ που προφανώς ενδιαφέρεται αρκετά για εσάς. Αλλά αυτά δεν είναι πραγματικά ανησυχίες για τον μέσο χρήστη.
Το μεγαλύτερο πιθανό πρόβλημα θα μπορούσε να είναι οι παράνομες χρήσεις του IMEI σας: συμπεριλαμβανομένης, ενδεικτικά, της μαύρης λίστας του IMEI σας ή της κλωνοποίησης του IMEI για χρήση σε ένα τηλέφωνο μαύρης αγοράς. Εάν συνέβαινε οποιοδήποτε σενάριο, θα μπορούσε να είναι μια τεράστια ταλαιπωρία να ξεθάψετε από αυτήν την τρύπα. Ένα άλλο πιθανό ζήτημα αφορά εφαρμογές που εξακολουθούν να χρησιμοποιούν το IMEI σας ως αναγνωριστικό. Το Whatsapp, για παράδειγμα, χρησιμοποιούσε ένα MD5-hashed, αντίστροφη έκδοση του IMEI ως κωδικό πρόσβασης του λογαριασμού σας. Αφού ψάξαμε στο διαδίκτυο, ορισμένοι σκιεροί ιστότοποι ισχυρίζονται ότι μπορούν να χακάρουν λογαριασμούς Whatsapp χρησιμοποιώντας έναν αριθμό τηλεφώνου και IMEI, αλλά δεν μπορώ να τους επαληθεύσω.
Ακόμη, είναι σημαντικό να προστατεύετε τυχόν πληροφορίες που προσδιορίζουν μοναδικά εσάς ή τις συσκευές σας. Εάν τα ζητήματα απορρήτου είναι σημαντικά για εσάς, τότε αυτή η πρακτική της OnePlus θα πρέπει να είναι ανησυχητική. Ελπίζουμε ότι αυτό το άρθρο χρησιμεύει για να σας ενημερώσει σχετικά με αυτές τις πιθανές επιπτώσεις στην ασφάλεια πίσω από αυτό εξασκηθείτε και να επιστήσετε αυτήν την κατάσταση υπόψη της OnePlus (για μια ακόμη φορά) ώστε να διορθωθεί ταχέως.