OnePlusi telefonid, milles töötab OxygenOS, lekivad teie telefoni IMEI-d alati, kui telefon värskendusi otsib. Telefon kasutab ebaturvalist HTTP POST-i päringut.
The OnePlus One oli üks esimesi Android-nutitelefone, mis tõestas, et tarbijad ei pea lipulaeva kogemuse eest maksma 600+ dollarit. Teisisõnu, isegi madalama hinnaga peaksite seda tegema kunagi ei lahene kehvema toote ostmiseks.
Mäletan siiani OnePlus One’i spetsifikatsiooni avalikustamisega seotud hüpet – ettevõte kasutas ära Androidi entusiastide fanatismi lekete osas. OnePlus otsustas paar nädalat enne ametlikku turuletulekut aeglaselt ükshaaval avaldada telefoni spetsifikatsioonid – ja see töötas.
Tol ajal valutasime sülje pärast 5,5-tollise 1080p ekraaniga Snapdragon 801 kasutamist telefonis ning väga ahvatlevat partnerlust äsja idufirmaga Cyanogen Inc. (kellest olid Androidi entusiastid väga CyanogenModi populaarsuse tõttu põnevil). Ja siis viskas OnePlus meile kõigile suurima pommuudise – 299-dollarise alghinna. Ainult üks teine telefon oli mind tõeliselt hämmastanud oma kuluvõime poolest – Nexus 5 – ja
Kuid siis tegi OnePlus a otsuste jada mis, kuigi mõned neist olid majanduslikult õigustatud, andsid kaubamärgile Androidi entusiastide seas hoo sisse. Esmalt oli vaidlus kutsesüsteemi ümber, seejärel tulid vastuolulised reklaamid ja tsüanogeeniga tülli langemine, siis Ettevõte sai vihkamise OnePlus 2 vabastada, mis paljude inimeste silmis ei suutnud ära elada selle "lipulaeva tapja" hüüdnimeks ja lõpuks seal on punapäine kasulaps OnePlus X nutitelefon, mis on alles äsja kätte saanud Android Marshmallow a paar päeva tagasi.
Kaks sammu edasi, üks samm tagasi
OnePlusi kiituseks tuleb öelda, et ettevõte suutis taaskäivitage hype ümbritseb oma tooteid OnePlus 3. Seekord ei hoolitsenud OnePlus mitte ainult paljude arvustajate ja kasutajate kaebuste käsitlemise eest OnePlus 2 vastu, vaid läks isegi kaugemale. varajase läbivaatamise kaebuste käsitlemine ja lähtekoodi välja andmine kohandatud ROM-i arendajatele. Taaskord on OnePlus loonud toote, mis on piisavalt mõjuv, et ma kaaluksin järgmise Nexuse telefoni väljalaskmist ja mitu meie töötajat ostaks selle (või kaks) enda jaoks. Kuid on üks probleem, mille suhtes mõned meie töötajad on ettevaatlikud – tarkvara. Oleme üsna eriarvamusel selles, kuidas me oma telefone kasutame – mõned meist elavad äärel ja välguvad kohandatud ROM-e, nagu sultanxda mitteametlik Cyanogenmod 13 OnePlus 3 jaoks, samas kui teised kasutavad oma seadmes ainult varu püsivara. Meie töötajate seas on lahkarvamusi hiljuti avaldatud materjalide kvaliteedi osas OxygenOS 3.5 kogukonna ehitamine (mida uurime tulevases artiklis), kuid on üks probleem, milles me kõik nõustume: täielik hämmeldus tõsiasja üle, et OnePlus kasutab tarkvaravärskenduste kontrollimise ajal teie IMEI edastamiseks HTTP-d.
Jah, sa lugesid õigesti. Teie IMEI, selle number tuvastab unikaalselt teie konkreetse telefoni, saadetakse krüpteerimata OnePlusi serveritesse, kui teie telefon otsib värskendust (kasutaja sisendiga või ilma). See tähendab, et igaüks, kes jälgib teie võrgu võrguliiklust (või teie teadmata, kui sirvite meie foorumid, olles ühendatud avaliku levialaga) võivad teie IMEI-d haarata, kui teie telefon (või teie) otsustab, et on aeg kontrollida värskendada.
XDA portaali meeskonna liige ja endine foorumi moderaator, b1nny, avastas probleemi oma seadme liikluse pealtkuulamist kasutades mitmproxy ja postitas selle kohta OnePlusi foorumitesse tagasi 4. juulil. Olles uurinud, mis tema OnePlus 3 värskendusi otsis, leidis b1nny, et OnePlus ei nõua kehtivat IMEI-d kasutajale värskenduse pakkumiseks. Selle tõestamiseks kasutas b1nny a Chrome'i rakendus nimega Postman HTTP POST-i päringu saatmiseks OnePlusi värskendusserverisse ja muutis oma IMEI-d prügiandmetega. Server tagastas siiski värskenduspaketi ootuspäraselt. b1nny tegi OTA-protsessiga seoses muid avastusi (näiteks asjaolu, et värskendusservereid jagatakse Oppo), kuid kõige murettekitavam oli asjaolu, et seda ainulaadset seadme identifikaatorit edastati HTTP.
Parandust pole veel näha
Pärast turvaprobleemi avastamist tegi b1nny oma hoolsusmeetmeid ja püüdis mõlemaga ühendust võtta OnePlusi foorumi moderaatorid ja klienditeenindajad kes võib-olla suudavad probleemi ahelast ülespoole asjaomastele meeskondadele edastada. Üks moderaator väitis, et välja antud antakse edasi; ta ei saanud aga kinnitust selle kohta, et küsimust uuritakse. Kui Redditorite tähelepanu sellele probleemile algselt /r/Android subredditis juhiti, olid paljud mures, kuid olid kindlad, et probleem lahendatakse kiiresti. Ka XDA portaalis uskusime, et OTA-serveri värskenduse pingimiseks kasutatav ebaturvaline HTTP POST-meetod parandatakse lõpuks. Probleem avastati algselt operatsioonisüsteemi OxygenOS-i versioonis 3.2.1 (kuigi see oleks võinud eksisteerida ka varasemates versioonides hästi), kuid b1nny kinnitas eile meiega, et probleem püsib endiselt Oxygen OS-i uusimas stabiilses versioonis: versioon 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
OxygenOS 3.5 kogukonna konstruktsiooni hiljutise väljalaskega olime aga taas uudishimulikud, et näha, kas probleem püsib. Võtsime selle probleemiga seoses ühendust OnePlusiga ja ettevõtte pressiesindaja ütles meile, et probleem on tõepoolest parandatud. Ühel meie portaali liikmel aga lasime oma OnePlus 3 võrguliikluse pealtkuulamiseks kasutada uusimat kommuuni versiooni ja kasutada mitmproxyt ning meie üllatuseks avastasime, et OxygenOS saatis endiselt värskendusserverile HTTP POST-i päringus IMEI-d.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
See, hoolimata ilmsest kinnitusest, et probleem lahendati, teeb meid XDA-s sügavalt murelikuks. OnePlusil pole mõtet kasutada HTTP-d oma serveritele päringu saatmiseks, kui nad seda soovivad kui kasutada andmekaeve eesmärgil meie IMEI-d, saaksid nad seda tõenäoliselt palju turvalisemalt teha meetod.
IMEI lekked ja teie
Seal pole midagi oluliselt ohtlik, et teie IMEI lekib üle avaliku võrgu. Kuigi see tuvastab teie seadme unikaalselt, on ka teisi kordumatuid identifikaatoreid, mida võidakse pahatahtlikult kasutada. Rakendused saavad taotleda juurdepääsu et oma seadme IMEI-d üsna hõlpsalt näha. Milles siis probleem? Sõltuvalt teie elukohast võib teie IMEI-d kasutada teie jälgimiseks valitsus või häkker, kes on teie vastu ilmselt piisavalt huvitatud. Kuid need ei ole tavakasutaja jaoks tegelikult muret tekitavad.
Suurim võimalik probleem võib olla teie IMEI ebaseaduslik kasutamine, sealhulgas, kuid mitte ainult, teie IMEI musta nimekirja lisamine või IMEI kloonimine, et seda musta turu telefonis kasutada. Kummagi stsenaariumi korral võib sellest august välja kaevamine olla tohutu ebamugavus. Teine võimalik probleem on seotud rakendustega, mis kasutavad endiselt identifikaatorina teie IMEI-d. Näiteks Whatsapp kasutas varem MD5-räsitud, ümberpööratud versioon oma IMEI-d konto paroolina. Pärast võrgus ringi vaatamist väidavad mõned varjulised veebisaidid, et suudavad telefoninumbri ja IMEI-ga Whatsapi kontosid häkkida, kuid ma ei saa neid kontrollida.
Siiski, oluline on kaitsta kogu teavet, mis teid või teie seadmeid unikaalselt tuvastab. Kui privaatsusprobleemid on teie jaoks olulised, peaks see OnePlusi tava olema murettekitav. Loodame, et see artikkel annab teile teavet selle võimalike turvamõjude kohta harjutada ja juhtida sellele olukorrale (veel kord) OnePlusi tähelepanu, et seda saaks parandada viivitamatult.