जब भी आपका फ़ोन अपडेट के लिए जाँच कर रहा होता है तो OxygenOS चलाने वाले वनप्लस फ़ोन आपके फ़ोन का IMEI लीक कर रहे हैं। फ़ोन एक असुरक्षित HTTP POST अनुरोध का उपयोग करता है।
एक और एक यह पहले एंड्रॉइड स्मार्टफ़ोन में से एक था जिसने साबित कर दिया कि उपभोक्ताओं को फ्लैगशिप अनुभव के लिए $600+ खर्च करने की ज़रूरत नहीं है। दूसरे शब्दों में, कम कीमत पर भी आपको ऐसा करना चाहिए कभी नहीं बसा घटिया उत्पाद खरीदने के लिए.
मुझे अभी भी वनप्लस वन के स्पेसिफिकेशन के बारे में प्रचार याद है - कंपनी ने लीक होने पर एंड्रॉइड उत्साही लोगों द्वारा प्रदर्शित कट्टरता का फायदा उठाया। वनप्लस ने आधिकारिक लॉन्च से कुछ हफ्ते पहले धीरे-धीरे एक-एक करके फोन के स्पेसिफिकेशन का खुलासा करने का फैसला किया - और यह काम कर गया।
उस समय, हमने 5.5" 1080p डिस्प्ले के साथ स्नैपड्रैगन 801 के फोन के उपयोग के साथ-साथ नवोदित स्टार्टअप साइनोजन इंक के साथ बहुत ही आकर्षक साझेदारी पर लार टपकाई थी। (जिनमें से एंड्रॉइड उत्साही थे बहुत (साइनोजनमोड की लोकप्रियता के कारण उत्साहित)। और फिर वनप्लस ने हम सभी पर सबसे बड़ा धमाका किया - $299 की शुरुआती कीमत। केवल एक अन्य फोन ने मुझे अपने लागत-प्रदर्शन के लिए वास्तव में आश्चर्यचकित किया था - नेक्सस 5 - और
वनप्लस वन ने इसे पानी से बाहर निकाल दिया. मुझे याद है कि कई नेक्सस उत्साही वनप्लस वन में अपग्रेड करने या अगले नेक्सस के रिलीज़ होने की प्रतीक्षा करने के बीच उलझे हुए थे।लेकिन फिर वनप्लस ने एक बनाया निर्णयों की श्रृंखला हालांकि, कुछ आर्थिक रूप से उचित थे, लेकिन एंड्रॉइड उत्साही लोगों के बीच ब्रांड के लिए कुछ गति खत्म हो गई। पहले आमंत्रण प्रणाली को लेकर विवाद था, फिर विवादास्पद विज्ञापन आये सायनोजेन के साथ बाहर गिरना, तब कंपनी को इसके लिए कुछ नफरत मिली वनप्लस 2 जो कई लोगों की नज़र में जारी करें जीने में असफल रहा इसके "फ्लैगशिप किलर" उपनाम के लिए, और अंत में वहाँ लाल बालों वाला सौतेला बच्चा है वनप्लस एक्स स्मार्टफोन जो अभी-अभी प्राप्त हुआ है एंड्रॉइड मार्शमैलो ए कुछ दिन पहले.
दो कदम आगे, एक कदम पीछे
वनप्लस के श्रेय के लिए, कंपनी सक्षम थी प्रचार फिर से जगाओ अपने उत्पादों को इसके साथ घेरें वनप्लस 3. इस बार, वनप्लस ने न केवल समीक्षकों और उपयोगकर्ताओं की वनप्लस 2 के खिलाफ कई शिकायतों को दूर करना सुनिश्चित किया, बल्कि इससे भी आगे बढ़ गया। शीघ्र समीक्षा शिकायतों का समाधान करना और स्रोत कोड जारी करना कस्टम ROM डेवलपर्स के लिए. एक बार फिर, वनप्लस ने इतना आकर्षक उत्पाद बनाया है कि मुझे अगले नेक्सस फोन की रिलीज की प्रतीक्षा करने पर पुनर्विचार करना पड़ा, और हमारे स्टाफ के कई सदस्यों ने इसे खरीदा (या दो) खुद के लिए। लेकिन एक मुद्दा है जिसके बारे में हमारे कुछ कर्मचारी सावधान हैं - सॉफ्टवेयर। हम अपने फोन का उपयोग करने के तरीके को लेकर काफी बंटे हुए हैं - हममें से कुछ लोग ब्लीडिंग एज पर रहते हैं और कस्टम रोम फ्लैश करते हैं sultanxda का अनौपचारिक साइनोजनमोड 13 वनप्लस 3 के लिए, जबकि अन्य केवल अपने डिवाइस पर स्टॉक फ़र्मवेयर चलाते हैं। हमारे कर्मचारियों के बीच, हाल ही में जारी की गई गुणवत्ता को लेकर कुछ असहमति है OxygenOS 3.5 समुदाय का निर्माण (जिसे हम भविष्य के लेख में तलाशेंगे), लेकिन एक मुद्दा है जिस पर हम सभी सहमत हैं: इस तथ्य पर पूरी तरह से हैरानी कि वनप्लस सॉफ़्टवेयर अद्यतनों की जाँच करते समय आपके IMEI को प्रसारित करने के लिए HTTP का उपयोग करता है।
हां, आपने उसे सही पढ़ा है। आपका IMEI, वह नंबर आपके विशिष्ट फ़ोन की विशिष्ट पहचान करता है, भेजा जाता है अनएन्क्रिप्ट जब आपका फ़ोन किसी अपडेट के लिए जाँच करता है (उपयोगकर्ता इनपुट के साथ या उसके बिना), तो वनप्लस के सर्वर पर। इसका मतलब यह है कि कोई भी आपके नेटवर्क में नेटवर्क ट्रैफ़िक को सुन रहा है (या आपसे अनभिज्ञ है, जब आप हमारा ब्राउज़ कर रहे हों) सार्वजनिक हॉटस्पॉट से कनेक्ट होने पर फ़ोरम आपके IMEI को पकड़ सकते हैं यदि आपका फ़ोन (या आप) यह निर्णय लेता है कि किसी की जाँच करने का समय आ गया है अद्यतन।
XDA पोर्टल टीम के सदस्य और पूर्व फोरम मॉडरेटर, b1nny, द्वारा इस मुद्दे का पता लगाया गया उसके डिवाइस के ट्रैफ़िक को रोकना का उपयोग करते हुए mitmproxy और इसके बारे में वनप्लस मंचों पर पोस्ट किया 4 जुलाई को वापस. जब उनका वनप्लस 3 अपडेट के लिए जाँच कर रहा था तब क्या हो रहा था, इसकी कुछ और खोजबीन करने के बाद, b1nny ने पाया कि वनप्लस वैध IMEI की आवश्यकता नहीं है उपयोगकर्ता को अपडेट प्रदान करने के लिए। इसे सिद्ध करने के लिए b1nny ने a का प्रयोग किया क्रोम ऐप जिसे पोस्टमैन कहा जाता है वनप्लस के अपडेट सर्वर पर HTTP POST अनुरोध भेजने और कचरा डेटा के साथ उसका IMEI संपादित करने के लिए। सर्वर फिर भी अपेक्षा के अनुरूप अद्यतन पैकेज लौटाया. b1nny ने OTA प्रक्रिया के संबंध में अन्य खोजें कीं (जैसे कि अद्यतन सर्वर के साथ साझा किया जाने वाला तथ्य)। ओप्पो), लेकिन सबसे चिंताजनक बात यह थी कि इस अद्वितीय डिवाइस पहचानकर्ता को प्रसारित किया जा रहा था एचटीटीपी।
अभी तक कोई समाधान नजर नहीं आया है
सुरक्षा समस्या का पता चलने के बाद, b1nny ने उचित परिश्रम किया और दोनों से संपर्क करने का प्रयास किया वनप्लस फोरम मॉडरेटर और ग्राहक सेवा प्रतिनिधि जो इस मुद्दे को संबंधित टीमों तक श्रृंखला में अग्रेषित करने में सक्षम हो सकते हैं। एक मॉडरेटर ने दावा किया कि जारी किया गया मामला पारित कर दिया जाएगा; हालाँकि, उन्हें इस बात की कोई पुष्टि नहीं मिल पाई कि इस मुद्दे पर गौर किया जा रहा है। जब इस मुद्दे को शुरू में /r/Android सबरेडिट पर Redditors के ध्यान में लाया गया था, तो कई लोग चिंतित थे लेकिन उन्हें विश्वास था कि समस्या का तेजी से समाधान हो जाएगा। XDA पोर्टल पर, हमारा भी मानना था कि अपडेट के लिए OTA सर्वर को पिंग करने के लिए उपयोग की जाने वाली असुरक्षित HTTP POST विधि को अंततः ठीक कर दिया जाएगा। समस्या की प्रारंभिक खोज OS के OxygenOS संस्करण 3.2.1 पर थी (हालाँकि यह पिछले संस्करणों में भी मौजूद हो सकता था) ठीक है), लेकिन b1nny ने कल हमारे साथ पुष्टि की कि समस्या अभी भी ऑक्सीजन ओएस के नवीनतम स्थिर संस्करण पर बनी हुई है: संस्करण 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
हालाँकि, OxygenOS 3.5 कम्युनिटी बिल्ड की हालिया रिलीज़ के साथ हम फिर से यह देखने के लिए उत्सुक थे कि क्या समस्या बनी रहती है। हमने इस मुद्दे के संबंध में वनप्लस से संपर्क किया और कंपनी के एक प्रवक्ता ने हमें बताया कि समस्या को वास्तव में सुलझा लिया गया है। हालाँकि, हमारे पोर्टल के सदस्यों में से एक ने अपने वनप्लस 3 के नेटवर्क ट्रैफ़िक को रोकने के लिए नवीनतम सामुदायिक निर्माण और मिटमप्रॉक्सी का उपयोग किया था, और हमें आश्चर्य हुआ कि हमें पता चला कि OxygenOS अभी भी अद्यतन सर्वर पर HTTP POST अनुरोध में एक IMEI भेज रहा था.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
यह, इस स्पष्ट पुष्टि के बावजूद कि समस्या का समाधान हो गया है, XDA में हमें गहरी चिंता है। वनप्लस के लिए अपने सर्वर पर अनुरोध भेजने के लिए HTTP का उपयोग करने का कोई मतलब नहीं है, यदि वे ऐसा करना चाहते हैं डेटा खनन उद्देश्यों के लिए हमारे IMEI का उपयोग करें तो वे संभवतः अधिक सुरक्षित तरीके से ऐसा कर सकते हैं तरीका।
IMEI लीक और आप
कुछ भी नहीं है काफी हद तक आपके IMEI का सार्वजनिक नेटवर्क पर लीक होना खतरनाक है। हालाँकि यह विशिष्ट रूप से आपके डिवाइस की पहचान करता है, लेकिन ऐसे अन्य विशिष्ट पहचानकर्ता भी हैं जिनका उपयोग दुर्भावनापूर्ण रूप से किया जा सकता है। एप्लिकेशन पहुंच का अनुरोध कर सकते हैं अपने डिवाइस का IMEI आसानी से देखने के लिए। तो मामला क्या है? आप कहां रहते हैं इसके आधार पर, आपके IMEI का उपयोग सरकार या किसी हैकर द्वारा आपको ट्रैक करने के लिए किया जा सकता है जो स्पष्ट रूप से आप में काफी रुचि रखता है। लेकिन ये वास्तव में औसत उपयोगकर्ता के लिए चिंता का विषय नहीं हैं।
सबसे बड़ा संभावित मुद्दा आपके IMEI का अवैध उपयोग हो सकता है: इसमें आपके IMEI को ब्लैकलिस्ट करना या ब्लैक मार्केट फ़ोन पर उपयोग करने के लिए IMEI की क्लोनिंग शामिल है, लेकिन यह इन्हीं तक सीमित नहीं है। यदि कोई भी स्थिति उत्पन्न होती है, तो इस छेद से बाहर निकलने में भारी असुविधा हो सकती है। एक अन्य संभावित समस्या उन अनुप्रयोगों के संबंध में है जो अभी भी आपके IMEI को एक पहचानकर्ता के रूप में उपयोग करते हैं। उदाहरण के लिए, व्हाट्सएप एक का उपयोग करता था MD5-हैशेड, उलटा संस्करण आपके IMEI को आपके खाते के पासवर्ड के रूप में। ऑनलाइन देखने के बाद, कुछ संदिग्ध वेबसाइटें फ़ोन नंबर और IMEI का उपयोग करके व्हाट्सएप खातों को हैक करने में सक्षम होने का दावा करती हैं, लेकिन मैं उन्हें सत्यापित नहीं कर सकता।
फिर भी, आपकी या आपके डिवाइस की विशिष्ट पहचान बताने वाली किसी भी जानकारी को सुरक्षित रखना महत्वपूर्ण है. यदि गोपनीयता के मुद्दे आपके लिए महत्वपूर्ण हैं, तो वनप्लस का यह अभ्यास चिंताजनक होना चाहिए। हमें उम्मीद है कि यह लेख आपको इसके पीछे संभावित सुरक्षा निहितार्थों के बारे में सूचित करने में मदद करेगा अभ्यास करें, और इस स्थिति को वनप्लस के ध्यान में (एक बार फिर) लाएं ताकि इसे ठीक किया जा सके तुरंत.