Los teléfonos OnePlus que ejecutan OxygenOS pierden el IMEI de su teléfono cada vez que su teléfono busca una actualización. El teléfono utiliza una solicitud HTTP POST insegura.
El Uno más uno fue uno de los primeros teléfonos inteligentes Android que demostró que los consumidores no necesitaban desembolsar más de $600 para disfrutar de una experiencia emblemática. En otras palabras, incluso a un precio más bajo deberías Nunca conformarse por comprar un producto inferior.
Todavía recuerdo el revuelo que rodeó la revelación de las especificaciones del OnePlus One: la compañía aprovechó el fanatismo mostrado por los entusiastas de Android cuando se trataba de filtraciones. OnePlus decidió revelar lentamente las especificaciones del teléfono una por una durante unas semanas antes del lanzamiento oficial, y funcionó.
En ese momento, nos hizo agua la boca el uso del Snapdragon 801 con una pantalla de 5,5" 1080p, así como la muy tentadora asociación con la incipiente startup Cyanogen Inc. (de los cuales los entusiastas de Android eran
muy emocionado debido a la popularidad de CyanogenMod). Y luego OnePlus nos lanzó a todos la bomba más grande: el precio inicial de $ 299. Sólo otro teléfono me había sorprendido realmente por su relación costo-rendimiento: el Nexus 5, y el OnePlus One lo sacó del agua. Recuerdo a muchos entusiastas de Nexus divididos entre actualizar el OnePlus One o esperar el lanzamiento del próximo Nexus.Pero luego OnePlus hizo un serie de decisiones eso, aunque algunos eran económicamente justificables, acabó con el impulso de la marca entre los entusiastas de Android. Primero fue la controversia en torno al sistema de invitaciones, luego vinieron los anuncios controvertidos y pelearse con cianógeno, entonces la empresa recibió algo de odio por el OnePlus 2 liberación que a los ojos de muchas personas no pudo estar a la altura a su apodo de "Flagship Killer", y finalmente ahí está el hijastro pelirrojo OnePlus X teléfono inteligente que acaba de recibir Androide malvavisco a hace unos dias.
Dos pasos adelante, un paso atrás
Para crédito de OnePlus, la compañía pudo reavivar el revuelo rodear sus productos con la OnePlus 3. Esta vez, OnePlus no sólo se aseguró de abordar muchas de las quejas que los revisores y usuarios tenían contra el OnePlus 2, sino que incluso hizo todo lo posible para abordar las quejas de revisión temprana y liberando el código fuente para desarrolladores de ROM personalizados. Una vez más, OnePlus ha creado un producto lo suficientemente atractivo como para hacerme reconsiderar la posibilidad de esperar el lanzamiento del próximo teléfono Nexus y hacer que varios miembros de nuestro personal compren uno (o dos) para ellos mismos. Pero hay un tema que preocupa a algunos miembros de nuestro personal: el software. Estamos bastante divididos sobre cómo usamos nuestros teléfonos: algunos de nosotros vivimos a la vanguardia y flasheamos ROM personalizadas como Cyanogenmod 13 no oficial de Sultanxda para OnePlus 3, mientras que otros solo ejecutan el firmware original en su dispositivo. Entre nuestro personal, existe cierto desacuerdo sobre la calidad de la versión publicada recientemente. Construcción de la comunidad OxygenOS 3.5 (que exploraremos en un artículo futuro), pero hay un tema en el que todos estamos de acuerdo: el desconcierto total por el hecho de que OnePlus utiliza HTTP para transmitir su IMEI mientras busca actualizaciones de software.
Sí, lo leiste bien. Tu IMEI, el número que identifica de forma única su teléfono en particular, se ha enviado sin cifrar a los servidores de OnePlus cuando su teléfono busca una actualización (con o sin intervención del usuario). Esto significa que cualquier persona que escuche el tráfico de la red en su red (o sin que usted lo sepa, mientras navega por nuestro foros mientras está conectado a un punto de acceso público) puede tomar su IMEI si su teléfono (o usted) decide que es hora de verificar si hay un actualizar.
Miembro del equipo del portal XDA y ex moderador del foro, b1nny, descubrió el problema por interceptando el tráfico de su dispositivo usando mitmproxy y publicado al respecto en los foros de OnePlus de regreso el 4 de julio. Después de investigar un poco más sobre lo que sucedía cuando su OnePlus 3 buscaba una actualización, b1nny descubrió que OnePlus no requiere un IMEI válido para ofrecer una actualización al usuario. Para probar esto, b1nny usó un Aplicación de Chrome llamada cartero para enviar una solicitud HTTP POST al servidor de actualización de OnePlus y editó su IMEI con datos basura. El servidor todavía devolvió el paquete de actualización como se esperaba. b1nny hizo otros descubrimientos sobre el proceso OTA (como el hecho de que los servidores de actualización se comparten con Oppo), pero la parte más preocupante fue el hecho de que este identificador único de dispositivo se estaba transmitiendo a través de HTTP.
Aún no hay solución a la vista
Después de descubrir el problema de seguridad, b1nny hizo su debida diligencia e intentó contactar a ambos. Moderadores del foro OnePlus y Representantes de Servicio al Cliente quién podría remitir el problema a los equipos pertinentes en la cadena. Un moderador afirmó que la cuestión se transmitiría; sin embargo, no pudo recibir ninguna confirmación de que se estuviera investigando el problema. Cuando el problema se llamó inicialmente la atención de los Redditors en el subreddit /r/Android, muchos estaban preocupados, pero confiaban en que el problema se resolvería rápidamente. En el Portal XDA, también creíamos que el método HTTP POST inseguro utilizado para hacer ping al servidor OTA para obtener una actualización eventualmente se solucionaría. El descubrimiento inicial del problema se produjo en la versión 3.2.1 del sistema operativo OxygenOS (aunque podría haber existido en versiones anteriores como bueno), pero b1nny confirmó con nosotros ayer que el problema aún persiste en la última versión estable de Oxygen OS: versión 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Sin embargo, con el reciente lanzamiento de la versión comunitaria de OxygenOS 3.5, volvimos a sentir curiosidad por ver si el problema persistía. Nos comunicamos con OnePlus con respecto a este problema y un portavoz de la compañía nos dijo que el problema efectivamente se había solucionado. Sin embargo, hicimos que uno de los miembros de nuestro portal actualizara la última versión de la comunidad y usara mitmproxy para interceptar el tráfico de red de su OnePlus 3 y, para nuestra sorpresa, descubrimos que OxygenOS todavía estaba enviando un IMEI en la solicitud HTTP POST al servidor de actualización.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Esto, a pesar de la aparente confirmación de que el problema se resolvió, nos preocupa profundamente en XDA. No tiene sentido que OnePlus utilice HTTP para enviar una solicitud a sus servidores, si todo lo que quieren Lo que hacemos es usar nuestro IMEI para fines de extracción de datos, entonces probablemente podrían hacerlo de una manera mucho más segura. método.
Las fugas de IMEI y usted
No hay nada sustancialmente Es peligroso que su IMEI se filtre a través de una red pública. Aunque identifica de forma única su dispositivo, existen otros identificadores únicos que podrían usarse de manera maliciosa. Las aplicaciones pueden solicitar acceso para ver el IMEI de tu dispositivo con bastante facilidad. Entonces, ¿cuál es el problema? Dependiendo de dónde viva, el gobierno o un hacker que aparentemente esté lo suficientemente interesado en usted podría utilizar su IMEI para rastrearlo. Pero esas no son realmente preocupaciones para el usuario promedio.
El mayor problema potencial podrían ser los usos ilícitos de su IMEI: incluidos, entre otros, incluir su IMEI en una lista negra o clonarlo para usarlo en un teléfono del mercado negro. Si ocurriera cualquiera de las dos situaciones, podría ser un gran inconveniente salir de este agujero. Otro problema potencial tiene que ver con las aplicaciones que todavía usan su IMEI como identificador. Whatsapp, por ejemplo, solía utilizar un Versión invertida con hash MD5 de su IMEI como contraseña de su cuenta. Después de buscar en línea, algunos sitios web sospechosos afirman poder piratear cuentas de Whatsapp usando un número de teléfono e IMEI, pero no puedo verificarlos.
Aún, Es importante salvaguardar cualquier información que lo identifique de manera única a usted o sus dispositivos.. Si las cuestiones de privacidad son importantes para usted, entonces esta práctica de OnePlus debería preocuparle. Esperamos que este artículo sirva para informarle sobre las posibles implicaciones de seguridad detrás de esto. práctica y llamar la atención de OnePlus sobre esta situación (una vez más) para que pueda solucionarse prontamente.