Une grave vulnérabilité dans le chargeur de démarrage OnePlus 6 a été découverte. Cet exploit, qui nécessite un accès physique, contourne toutes les mesures de sécurité.
Mise à jour du 9/06/18 à 14h31 CT: OnePlus a publié une déclaration concernant ce sujet.
Mise à jour 15/06/18 10h47: OnePlus a commencé à se déployer OxygèneOS 5.1.7 avec un correctif pour la vulnérabilité du chargeur de démarrage.
Le OnePlus 6 était officialisé au milieu du mois dernier. L'appareil n'a commencé que récemment à se retrouver entre les mains des consommateurs et des développeurs sur nos forums, et nous entendons déjà parler du travail qui est effectué. Un version officielle de TWRP est déjà disponible et les travaux progressent bien sur un LineageOS 15.1 GSI non officiel. Le OnePlus 6 ne retient pas seulement l'attention des utilisateurs intéressés par l'appareil pour leur usage personnel ou projets, cependant, alors que les chercheurs en sécurité commencent à examiner de plus près l'appareil pour voir ce qu'ils peuvent trouver.
L'un de ces chercheurs, Jason Donenfeld, président de Edge Security LLC, également connu sur XDA sous le nom zx2c4, a découvert une vulnérabilité sur l'appareil qui lui permet de démarrer n'importe quelle image modifiée arbitrairement qui contourne les mesures de protection du chargeur de démarrage (comme un chargeur de démarrage verrouillé). (L'exploitation de la vulnérabilité nécessite un accès physique à l'appareil.)
Cette vulnérabilité permet à un attaquant disposant d'un accès physique et d'une connexion filaire à un PC de prendre le contrôle de l'appareil. Si l'image de démarrage est modifiée avec ADB non sécurisé et ADB comme root par défaut, alors un attaquant disposant d'un accès physique aura un contrôle total sur l’appareil. Contrairement au fameux "porte arrière" (ce qui n'était pas vraiment une porte dérobée) sur le OnePlus 5T, l'exploitation de cette vulnérabilité ne nécessite pas que l'utilisateur ait déjà activé le débogage USB. Cela signifie qu’un attaquant n’a qu’à mettre la main sur l’appareil – et rien de plus – pour y accéder pleinement s’il exploite cette vulnérabilité du OnePlus 6.
Le bug a été signalé à plusieurs ingénieurs de OnePlus et Jason Donenfeld a confirmé qu'un membre de l'équipe de sécurité a a pris connaissance du rapport. Nous suivrons cette affaire à mesure que de plus amples informations seront disponibles. Nous espérons qu'un correctif sera rapidement publié pour le chargeur de démarrage afin que ce problème puisse être résolu.
Mise à jour 1: déclaration OnePlus
OnePlus a fait une déclaration à ce sujet :
"Nous prenons la sécurité au sérieux chez OnePlus. Nous sommes en contact avec le chercheur en sécurité et une mise à jour logicielle sera déployée sous peu. » - Porte-parole de OnePlus
Nous continuerons à suivre ce sujet et vous tiendrons au courant dès qu'une mise à jour logicielle sera disponible.
Mise à jour 2: correctif
OnePlus a commencé à déployer OxygenOS 5.1.7 pour le OnePlus 6 le 15 juin avec une réparation pour la vulnérabilité du chargeur de démarrage.
Cet article a été mis à jour pour refléter le fait qu'un attaquant a besoin d'un accès physique à l'appareil ainsi que d'une connexion filaire à un PC pour exploiter la vulnérabilité.