OnePlus-puhelimet, joissa on OxygenOS, vuotavat puhelimesi IMEI-koodia aina, kun puhelin etsii päivitystä. Puhelin käyttää suojaamatonta HTTP POST -pyyntöä.
The Yksi plus yksi oli yksi ensimmäisistä Android-älypuhelimista, joka osoitti, että kuluttajien ei tarvinnut maksaa yli 600 dollaria lippulaivakokemuksesta. Toisin sanoen, jopa halvemmalla hintapisteellä sinun pitäisi koskaan ratkaista huonomman tuotteen ostamiseen.
Muistan vieläkin OnePlus Onen teknisten tietojen paljastamiseen liittyvän hypetyksen – yritys käytti hyväkseen Android-harrastajien osoittamaa fanaattisuutta vuotojen suhteen. OnePlus päätti hitaasti paljastaa puhelimen tekniset tiedot yksitellen muutaman viikon ajan ennen virallista julkaisua - ja se toimi.
Tuolloin sylkimme puhelimessa käytettävästä Snapdragon 801:stä, jossa on 5,5" 1080p-näyttö, sekä erittäin houkuttelevasta kumppanuudesta aloittelevan Cyanogen Inc: n kanssa. (joista Android-harrastajat olivat erittäin innoissaan CyanogenModin suosion vuoksi). Ja sitten OnePlus pudotti suurimman pommin meille kaikille - 299 dollarin lähtöhinnan. Vain yksi muu puhelin oli todella hämmästynyt kustannustehokkuudestaan - Nexus 5 - ja
Mutta sitten OnePlus teki a päätösten sarja jotka, vaikka jotkut olivat taloudellisesti perusteltuja, saivat tuotemerkin vauhtia Android-harrastajien keskuudessa. Ensin oli kiista kutsujärjestelmään, sitten tuli kiistanalaisia mainoksia ja eristyminen syanogeenin kanssa, sitten yritys sai jonkin verran vihaa siitä OnePlus 2 vapauttaa, joka monien ihmisten silmissä ei onnistunut selviytymään sen "Flagship Killer" -nimen, ja vihdoinkin siellä on punatukkainen lapsipuoli OnePlus X älypuhelin, joka on juuri vastaanotettu Android Marshmallow a muutama päivä sitten.
Kaksi askelta eteenpäin, yksi askel taaksepäin
OnePlusin ansioksi yhtiö pystyi herättää hype uudelleen ympäröi tuotteensa OnePlus 3. Tällä kertaa OnePlus ei vain varmistanut, että se käsittelee monia arvioijien ja käyttäjien valituksia OnePlus 2:ta vastaan, vaan meni jopa pidemmälle. varhaisen tarkastelun valitusten käsitteleminen ja lähdekoodin julkaiseminen mukautetuille ROM-kehittäjille. Jälleen kerran OnePlus on luonut tuotteen, joka on tarpeeksi houkutteleva saadakseni minut harkitsemaan seuraavan Nexus-puhelimen julkaisua ja useiden henkilökunnan jäsenten ostamaan sellaisen (tai kaksi) heille itselleen. Mutta on yksi ongelma, jonka suhteen jotkut henkilökuntamme ovat varovaisia: ohjelmisto. Olemme melko erimielisiä siitä, miten käytämme puhelimiamme - jotkut meistä elävät syrjäytyneellä ja flash-muistilla, kuten sultanxdan epävirallinen Cyanogenmod 13 OnePlus 3:lle, kun taas toiset käyttävät vain varastossa olevaa laiteohjelmistoa laitteellaan. Henkilökuntamme keskuudessa on erimielisyyksiä äskettäin julkaistun tuotteen laadusta OxygenOS 3.5 -yhteisön rakentaminen (jota tutkimme seuraavassa artikkelissa), mutta yhdestä asiasta olemme kaikki samaa mieltä: täydellinen hämmennys siitä tosiasiasta, että OnePlus käyttää HTTP: tä IMEI-koodin lähettämiseen, kun se tarkistaa ohjelmistopäivityksiä.
Kyllä, luit oikein. IMEI-koodisi, sen numero tunnistaa yksilöllisesti tietyn puhelimesi, on lähetetty salaamaton OnePlusin palvelimille, kun puhelimesi etsii päivitystä (käyttäjän syötöllä tai ilman). Tämä tarkoittaa, että kuka tahansa, joka kuuntelee verkkoliikennettäsi verkossa (tai tietämättäsi, kun selaat foorumit ollessaan yhteydessä julkiseen hotspotiin) voivat napata IMEI-tunnuksesi, jos puhelimesi (tai sinä) päättää, että on aika tarkistaa päivittää.
XDA Portal -tiimin jäsen ja entinen foorumin moderaattori, b1nny, havaitsi ongelman siepata laitteensa liikennettä käyttämällä mitmproxy ja julkaisi siitä OnePlus-foorumeilla takaisin heinäkuun 4. Tutkittuaan tarkemmin, mitä tapahtui, kun hänen OnePlus 3:nsa etsi päivitystä, b1nny huomasi, että OnePlus ei vaadi kelvollista IMEI-koodia tarjota päivitystä käyttäjälle. Tämän todistamiseksi b1nny käytti a Chrome-sovellus nimeltä Postman lähettää HTTP POST -pyynnön OnePlusin päivityspalvelimelle ja muokannut hänen IMEI-koodiaan roskatiedoilla. Palvelin silti palautti päivityspaketin odotetusti. b1nny teki muita löytöjä OTA-prosessista (kuten sen, että päivityspalvelimet jaetaan Oppo), mutta huolestuttavinta oli se, että tämä ainutlaatuinen laitetunniste välitettiin HTTP.
Ei korjausta vielä näköpiirissä
Havaittuaan tietoturvaongelman b1nny teki due diligencensä ja yritti ottaa yhteyttä molempiin OnePlus-foorumin moderaattorit ja asiakaspalvelun edustajat jotka saattavat pystyä välittämään ongelman ketjussa eteenpäin asianomaisille ryhmille. Moderaattori väitti, että julkaistut tiedot välitettäisiin; Hän ei kuitenkaan saanut vahvistusta siitä, että asiaa tutkitaan. Kun ongelma tuotiin alun perin Redditorsin tietoon /r/Android-aliredditissä, monet olivat huolissaan, mutta olivat varmoja, että ongelma ratkaistaan nopeasti. Mekin XDA-portaalissa uskoimme, että turvaton HTTP POST -menetelmä, jota käytetään OTA-palvelimen ping-kutsuun päivitystä varten, korjattaisiin lopulta. Alkuperäinen ongelma havaittiin OxygenOS-käyttöjärjestelmän versiossa 3.2.1 (vaikka se olisi voinut olla olemassa aiemmissa versioissa no), mutta b1nny vahvisti kanssamme eilen, että ongelma jatkuu edelleen Oxygen OS: n uusimmassa vakaassa versiossa: versio 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
OxygenOS 3.5 -yhteisön äskettäisen julkaisun myötä olimme kuitenkin jälleen uteliaita näkemään, jatkuiko ongelma. Otimme OnePlusin puoleen tästä ongelmasta, ja yrityksen tiedottaja kertoi meille, että ongelma oli todellakin korjattu. Kuitenkin, yksi portaalimme jäsenistämme käytti viimeisintä yhteisön rakennetta ja käytti mitmproxya siepatakseen OnePlus 3:n verkkoliikenteen, ja yllätykseksemme huomasimme, että OxygenOS lähetti edelleen IMEI: n HTTP POST -pyynnössä päivityspalvelimelle.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Tämä huolestuttaa meitä XDA: ssa syvästi huolimatta ilmeisestä vahvistuksesta, että ongelma on ratkaistu. OnePlusin ei ole järkevää käyttää HTTP: tä pyynnön lähettämiseen palvelimilleen, jos he vain haluavat Käytä IMEI-koodiamme tiedonlouhintaan, niin he voisivat luultavasti tehdä sen paljon turvallisemmalla tavalla menetelmä.
IMEI vuodot ja sinä
Siellä ei ole mitään olennaisesti vaarallinen IMEI-koodisi vuotaminen julkisen verkon kautta. Vaikka se yksilöi laitteesi, on olemassa muita yksilöllisiä tunnisteita, joita voidaan käyttää haitallisesti. Sovellukset voivat pyytää pääsyä nähdäksesi laitteesi IMEI-koodin melko helposti. Joten mikä on ongelma? Asuinpaikastasi riippuen hallitus tai hakkeri, joka on ilmeisesti tarpeeksi kiinnostunut sinusta, voi käyttää IMEI-koodiasi. Mutta ne eivät todellakaan ole keskimääräisen käyttäjän huolenaihe.
Suurin mahdollinen ongelma voi olla IMEI: n laiton käyttö: mukaan lukien, mutta ei rajoittuen, IMEI: n lisääminen mustalle listalle tai IMEI: n kloonaaminen käytettäväksi mustan kaupan puhelimissa. Jos jompikumpi skenaario toteutui, voi olla valtava vaiva kaivaa itsesi ulos tästä kuopasta. Toinen mahdollinen ongelma liittyy sovelluksiin, jotka edelleen käyttävät IMEI-koodiasi tunnisteena. Esimerkiksi Whatsapp käytti aikoinaan MD5-tiiviste, käännetty versio IMEI-tunnuksesi tilisi salasanaksi. Netissä katseltuani jotkut hämärät verkkosivustot väittävät voivansa hakkeroida Whatsapp-tilejä puhelinnumeron ja IMEI-koodin avulla, mutta en voi vahvistaa niitä.
Edelleen, on tärkeää suojata kaikki tiedot, jotka yksilöivät sinut tai laitteesi. Jos tietosuojakysymykset ovat sinulle tärkeitä, tämän OnePlus-käytännön pitäisi olla huolestuttava. Toivomme, että tämä artikkeli kertoo sinulle tämän taustalla olevista mahdollisista turvallisuusvaikutuksista ja tuoda tämä tilanne OnePlusin tietoon (jälleen kerran), jotta se voidaan korjata viipymättä.