OnePlus 6:n käynnistyslataimessa on havaittu vakava haavoittuvuus. Tämä hyväksikäyttö, joka vaatii fyysistä pääsyä, ohittaa kaikki turvatoimenpiteet.
Päivitys 9.6.2018 klo 14.31 CT: OnePlus on antanut lausunnon tästä aiheesta.
Päivitys 15.6.2018 klo 10:47: OnePlus on alkanut julkaista OxygenOS 5.1.7 käynnistyslataimen haavoittuvuuden korjauksella.
OnePlus 6 oli tehty viralliseksi viime kuun puolivälissä. Laite on vasta äskettäin alkanut saada tiensä kuluttajien ja kehittäjien käsiin foorumeillamme, ja jo nyt kuulemme työn tekemisestä. An TWRP: n virallinen rakennus on jo saatavilla ja työ etenee hienosti epävirallisella LineageOS 15.1 GSI: llä. OnePlus 6 ei saa huomiota vain käyttäjiltä, jotka ovat kiinnostuneita laitteesta henkilökohtaiseen käyttöönsä tai hankkeita kuitenkin, kun tietoturvatutkijat alkavat tarkastella laitetta tarkemmin nähdäkseen, mitä he voivat löytö.
Yksi tällainen tutkija, Jason Donenfeld, presidentti Edge Security LLC, joka tunnetaan myös XDA: ssa nimellä zx2c4, on havainnut laitteesta haavoittuvuuden, jonka avulla hän voi käynnistää minkä tahansa mielivaltaisen muokatun kuvan, joka
ohittaa käynnistyslataimen suojaustoimenpiteet (kuten lukittu käynnistyslatain). (Haavoittuvuuden hyödyntäminen edellyttää fyysistä pääsyä laitteeseen.)Tämän haavoittuvuuden ansiosta hyökkääjä, jolla on fyysinen pääsy ja jaettu yhteys tietokoneeseen, voi ottaa laitteen hallintaansa. Jos käynnistyskuvaa on muokattu suojaamattomalla ADB: llä ja ADB: llä oletuksena pääkäyttäjänä, hyökkääjä, jolla on fyysinen käyttöoikeus hallitsee laitetta täydellisesti. Toisin kuin surullisen"takaovi" (joka ei todellakaan ollut takaovi) OnePlus 5T: ssä, tämän haavoittuvuuden hyödyntäminen ei edellytä, että käyttäjällä on jo käytössä USB-virheenkorjaus. Tämä tarkoittaa, että hyökkääjän tarvitsee vain saada käsiinsä laite – eikä mitään muuta – päästäkseen siihen täysimääräisesti, jos hän hyödyntää tätä OnePlus 6:n haavoittuvuutta.
Virhe ilmoitettiin useille OnePlusin insinööreille, ja Jason Donenfeld on vahvistanut, että turvallisuustiimin jäsen myönsi raportin. Seuraamme asiaa, kun lisätietoja saadaan. Toivomme, että käynnistyslataimen korjaustiedosto julkaistaan nopeasti, jotta tämä ongelma voidaan ratkaista.
Päivitys 1: OnePlus Statement
OnePlus on antanut asiasta lausunnon:
"Otamme turvallisuuden vakavasti OnePlusissa. Olemme yhteydessä tietoturvatutkijaan, ja ohjelmistopäivitys julkaistaan pian." - OnePlusin tiedottaja
Jatkamme tämän aiheen seuraamista ja päivitämme sinut, kun ohjelmistopäivitys on saatavilla.
Päivitys 2: Korjaa
OnePlus on aloittanut OxygenOS 5.1.7:n julkaisun OnePlus 6:lle 15. kesäkuuta korjaus käynnistyslataimen haavoittuvuuden vuoksi.
Tämä artikkeli päivitettiin sen mukaan, että hyökkääjä tarvitsee fyysisen pääsyn laitteeseen sekä jaetun yhteyden tietokoneeseen voidakseen hyödyntää haavoittuvuutta.