Les téléphones OnePlus exécutant OxygenOS divulguent l'IMEI de votre téléphone chaque fois que votre téléphone recherche une mise à jour. Le téléphone utilise une requête HTTP POST non sécurisée.
Le Un plus un a été l'un des premiers smartphones Android à prouver que les consommateurs n'avaient pas besoin de débourser plus de 600 $ pour une expérience phare. En d’autres termes, même à un prix inférieur, vous devriez ne jamais régler pour l'achat d'un produit de qualité inférieure.
Je me souviens encore du battage médiatique entourant la révélation des spécifications du OnePlus One - la société a capitalisé sur le fanatisme affiché par les passionnés d'Android en matière de fuites. OnePlus a décidé de dévoiler lentement les spécifications du téléphone, une par une, quelques semaines avant le lancement officiel – et cela a fonctionné.
À l'époque, on salivait de l'utilisation par le téléphone du Snapdragon 801 avec un écran 5,5" 1080p ainsi que du partenariat très alléchant avec la jeune startup Cyanogen Inc. (dont les passionnés d'Android étaient
très enthousiasmé en raison de la popularité de CyanogenMod). Et puis OnePlus a lancé la plus grosse bombe sur nous tous: le prix de départ de 299 $. Un seul autre téléphone m'a vraiment étonné par son rapport qualité-prix - le Nexus 5 - et le OnePlus One l'a fait exploser hors de l'eau. Je me souviens de nombreux passionnés de Nexus déchirés entre effectuer une mise à niveau vers le OnePlus One ou attendre la sortie du prochain Nexus.Mais ensuite OnePlus a fait un série de décisions cela, même si certains étaient économiquement justifiables, a tué un certain élan pour la marque parmi les passionnés d'Android. Il y a d’abord eu la controverse autour du système d’invitation, puis sont venues les publicités controversées et se brouiller avec Cyanogène, alors l'entreprise a reçu une certaine haine pour le OnePlus2 libération qui, aux yeux de beaucoup de gens n'a pas réussi à être à la hauteur à son surnom de "Flagship Killer", et enfin il y a le beau-fils roux OnePlus X smartphone qui vient tout juste de recevoir Guimauve Android un Il ya quelques jours.
Deux pas en avant, un pas en arrière
Au crédit de OnePlus, la société a pu raviver le battage médiatique entourer ses produits du OnePlus3. Cette fois-ci, OnePlus s'est non seulement assuré de répondre à de nombreux griefs des évaluateurs et des utilisateurs à l'encontre du OnePlus 2, mais est même allé au-delà de ses attentes. traiter les plaintes liées à un examen précoce et publier le code source pour les développeurs de ROM personnalisés. Une fois de plus, OnePlus a créé un produit suffisamment convaincant pour que je reconsidère l'attente de la sortie du prochain téléphone Nexus et que plusieurs membres de notre équipe en achètent un (ou deux) pour eux-mêmes. Mais il y a un problème dont certains membres de notre personnel se méfient: le logiciel. Nous sommes assez partagés sur la façon dont nous utilisons nos téléphones - certains d'entre nous vivent à la pointe de la technologie et flashent des ROM personnalisées comme Cyanogenmod 13 non officiel de sultanxda pour le OnePlus 3, tandis que d'autres exécutent uniquement le firmware d'origine sur leur appareil. Au sein de notre équipe, il existe un certain désaccord sur la qualité des nouveautés récemment publiées. Construction de la communauté OxygenOS 3.5 (que nous explorerons dans un prochain article), mais il y a un problème sur lequel nous sommes tous d'accord: la totale perplexité face au fait que OnePlus utilise HTTP pour transmettre votre IMEI tout en vérifiant les mises à jour logicielles.
Oui, tu l'as bien lu. Votre IMEI, le numéro que identifie de manière unique votre téléphone particulier, est envoyé non crypté aux serveurs de OnePlus lorsque votre téléphone recherche une mise à jour (avec ou sans intervention de l'utilisateur). Cela signifie que toute personne écoutant le trafic réseau de votre réseau (ou à votre insu, pendant que vous parcourez notre forums tout en étant connecté à un point d'accès public) peut récupérer votre IMEI si votre téléphone (ou vous) décide qu'il est temps de rechercher un mise à jour.
Membre de l'équipe du portail XDA et ancien modérateur du forum, b1nny, a découvert le problème en intercepter le trafic de son appareil en utilisant mitmproxy et posté à ce sujet sur les forums OnePlus de retour le 4 juillet. Après avoir approfondi ce qui se passait lorsque son OnePlus 3 recherchait une mise à jour, b1nny a découvert que OnePlus ne nécessite pas d'IMEI valide pour proposer une mise à jour à l'utilisateur. Pour le prouver, b1nny a utilisé un Application Chrome appelée Postman pour envoyer une requête HTTP POST au serveur de mise à jour de OnePlus et modifié son IMEI avec des données inutiles. Le serveur a toujours renvoyé le package de mise à jour comme prévu. b1nny a fait d'autres découvertes concernant le processus OTA (comme le fait que les serveurs de mise à jour sont partagés avec Oppo), mais le plus inquiétant était le fait que cet identifiant unique d'appareil était transmis via HTTP.
Aucune solution en vue pour l’instant
Après avoir découvert le problème de sécurité, b1nny a fait preuve de diligence raisonnable et a tenté de contacter les deux Modérateurs du forum OnePlus et Représentants Service à la clientèle qui pourrait être en mesure de remonter le problème vers les équipes concernées. Un modérateur a affirmé que le message serait transmis; cependant, il n’a pu recevoir aucune confirmation que la question était à l’étude. Lorsque le problème a été initialement porté à l'attention des Redditors sur le subreddit /r/Android, beaucoup étaient inquiets mais étaient convaincus que le problème serait rapidement résolu. Sur le portail XDA, nous pensions également que la méthode HTTP POST non sécurisée utilisée pour envoyer une requête ping au serveur OTA pour une mise à jour serait finalement corrigée. La première découverte du problème a eu lieu sur la version 3.2.1 du système d'exploitation OxygenOS (bien qu'il aurait pu exister dans les versions précédentes comme eh bien), mais b1nny nous a confirmé hier que le problème persiste toujours sur la dernière version stable d'Oxygen OS: version 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Cependant, avec la récente sortie de la version communautaire OxygenOS 3.5, nous étions à nouveau curieux de voir si le problème persistait. Nous avons contacté OnePlus à propos de ce problème et un porte-parole de la société nous a dit que le problème avait effectivement été corrigé. Cependant, l'un des membres de notre portail a flashé la dernière version de la communauté et a utilisé mitmproxy pour intercepter le trafic réseau de son OnePlus 3, et à notre grande surprise, nous avons découvert que OxygenOS envoyait toujours un IMEI dans la requête HTTP POST au serveur de mise à jour.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Ceci, malgré la confirmation apparente que le problème a été résolu, nous inquiète profondément chez XDA. Cela n'a aucun sens pour OnePlus d'utiliser HTTP pour envoyer une requête à ses serveurs, s'ils le souhaitent faire est d'utiliser notre IMEI à des fins d'exploration de données, alors ils pourraient probablement le faire de manière beaucoup plus sécurisée méthode.
Les fuites IMEI et vous
Il n'y a rien substantiellement dangereux en cas de fuite de votre IMEI sur un réseau public. Bien qu'il identifie de manière unique votre appareil, il existe d'autres identifiants uniques qui pourraient être utilisés de manière malveillante. Les applications peuvent demander l’accès pour voir l'IMEI de votre appareil assez facilement. Alors, quel est le problème? Selon l'endroit où vous vivez, votre IMEI pourrait être utilisé pour vous suivre par le gouvernement ou un pirate informatique qui s'intéresse apparemment suffisamment à vous. Mais ce n’est pas vraiment un problème pour l’utilisateur moyen.
Le plus gros problème potentiel pourrait être l'utilisation illicite de votre IMEI: y compris, mais sans s'y limiter, la mise sur liste noire de votre IMEI ou le clonage de l'IMEI pour être utilisé sur un téléphone du marché noir. Si l’un ou l’autre scénario se produisait, il pourrait être très gênant de se sortir de ce trou. Un autre problème potentiel concerne les applications qui utilisent toujours votre IMEI comme identifiant. Whatsapp, par exemple, utilisait un Version inversée hachée MD5 de votre IMEI comme mot de passe de votre compte. Après avoir cherché en ligne, certains sites Web louches prétendent pouvoir pirater des comptes Whatsapp en utilisant un numéro de téléphone et un IMEI, mais je ne peux pas les vérifier.
Toujours, il est important de protéger toute information permettant de vous identifier de manière unique, vous ou vos appareils.. Si les problèmes de confidentialité sont importants pour vous, cette pratique de OnePlus devrait être préoccupante. Nous espérons que cet article servira à vous informer sur les implications potentielles en matière de sécurité derrière cela. pratique, et de porter cette situation à l'attention de OnePlus (une fois de plus) afin qu'elle puisse être corrigée rapidement.