[Värskendus: parandus] OnePlus 6-s avastati alglaaduri kaitse ümbersõit (vajab füüsilist juurdepääsu)

Xda TäisOct 31, 2023
click fraud protection

OnePlus 6 alglaaduris avastati tõsine haavatavus. See ärakasutamine, mis nõuab füüsilist juurdepääsu, läheb mööda kõigist turvameetmetest.

Värskendus 9.6.18 14:31 CT: OnePlus on selle teema kohta avaldanud avalduse.

Värskendus 15.06.18 10:47: OnePlus on hakanud levima OxygenOS 5.1.7 koos alglaaduri haavatavuse parandusega.

OnePlus 6 oli ametlikuks tehtud eelmise kuu keskel. Seade on alles hiljuti hakanud meie foorumites tarbijate ja arendajate kätte jõudma ning juba praegu kuuleme tehtud tööst. An TWRP ametlik ehitamine on juba saadaval ja töö edeneb kenasti mitteametlikul LineageOS 15.1 GSI-l. OnePlus 6 ei pälvi tähelepanu mitte ainult kasutajatelt, kes on seadmest huvitatud isiklikuks kasutamiseks või projektid, kuid turvateadlased hakkavad seadet lähemalt uurima, et näha, mida nad suudavad leida.

Üks selline teadlane, Jason Donenfeld, president Edge Security LLC, tuntud ka XDA-s kui zx2c4, on avastanud seadmes haavatavuse, mis võimaldab tal käivitada mis tahes suvaliselt muudetud kujutist, mis

möödub alglaaduri kaitsemeetmetest (näiteks lukustatud alglaadur). (Haavatavuse ärakasutamine nõuab füüsilist juurdepääsu seadmele.)

See haavatavus võimaldab füüsilise juurdepääsu ja arvutiga ühendatud ühendusega ründajal seadme üle kontrolli võtta. Kui alglaadimispilti muudetakse ebaturvalise ADB-ga ja vaikimisi administraatorina ADB-ga, siis füüsilise juurdepääsuga ründaja omab täielikku kontrolli seadme üle. Erinevalt kurikuulsast"tagauks" (mis ei olnud tegelikult tagauks) OnePlus 5T puhul ei nõua selle haavatavuse ärakasutamine, et kasutajal oleks USB-silumine juba lubatud. See tähendab, et ründajal tuleb sellele OnePlus 6 haavatavuse ärakasutamisel sellele täieliku juurdepääsu saamiseks ainult oma käed seadme kätte saada – ja mitte midagi enamat.

Veast teatati mitmele OnePlusi insenerile ja Jason Donenfeld kinnitas, et turvameeskonna liige tunnistas teadet. Kui lisateavet saab, võtame selle teemaga edasi. Loodame, et alglaaduri jaoks vabastatakse kiiresti plaaster, et see probleem saaks lahendada.

Värskendus 1: OnePlusi avaldus

OnePlus on pakkunud selle kohta avalduse:

"Me võtame OnePlusis turvalisust tõsiselt. Oleme turvauurijaga ühenduses ja varsti tuleb tarkvarauuendus." - OnePlusi pressiesindaja

Jätkame selle teema jälgimist ja värskendame teid, kui tarkvaravärskendus on saadaval.

Värskendus 2: parandage

OnePlus alustas 15. juunil OnePlus 6 jaoks OxygenOS 5.1.7 väljalaskmist. parandus alglaaduri haavatavuse jaoks.

Seda artiklit värskendati, et kajastada, et ründajal on haavatavuse ärakasutamiseks vaja nii füüsilist juurdepääsu seadmele kui ka arvutiga ühendatud ühendust.