Az OxygenOS-t futtató OnePlus telefonok kiszivárogtatják a telefon IMEI-kódját, amikor a telefon frissítést keres. A telefon nem biztonságos HTTP POST kérést használ.
A Egy meg egy volt az egyik első Android okostelefon, amely bebizonyította, hogy a fogyasztóknak nem kell 600 dollár feletti összeget kifizetniük a csúcsminőségű élményért. Más szóval, még alacsonyabb áron is meg kell tennie soha ne telepedj le gyengébb minőségű termék vásárlása miatt.
Még mindig emlékszem a OnePlus One specifikációival kapcsolatos felhajtásra – a vállalat kihasználta az Android-rajongók fanatizmusát, amikor a szivárgásokról volt szó. A OnePlus úgy döntött, hogy néhány héttel a hivatalos megjelenés előtt lassan egyenként leleplezi a telefon specifikációit – és ez működött.
Akkoriban nyáladztunk a Snapdragon 801 telefon használatán 5,5 hüvelykes 1080p-s kijelzővel, valamint a nagyon csábító partnerségen a kezdő Cyanogen Inc.-vel. (akik közül az Android rajongói voltak nagyon izgatott a CyanogenMod népszerűsége miatt). Aztán a OnePlus ledobta a legnagyobb bombát mindannyiunkra – a 299 dolláros kikiáltási árat. Csak egy másik telefon lepett meg igazán költség-teljesítményével – a Nexus 5 – és a
A OnePlus One kifújta a vízből. Emlékszem, sok Nexus-rajongó tépelődött aközött, hogy frissíti a OnePlus One-t, vagy várja a következő Nexus megjelenését.De aztán a OnePlus készített egy döntések sorozata amely bár gazdaságilag indokolt volt, némi lendületet adott a márkának az Android-rajongók körében. Először a meghívási rendszer körüli vita volt, majd jöttek a vitatott hirdetések és kiesik a cianogénnel, akkor a cég kapott némi gyűlöletet a OnePlus 2 felszabadítása, amely sok ember szemében nem sikerült megélni a „Flagship Killer” becenévre, és végül ott a vörös hajú mostohagyerek OnePlus X okostelefon, amelyet csak most kaptak meg Android Marshmallow a pár napja.
Két lépés előre, egy lépés hátra
A OnePlus érdemére legyen mondva, a cég képes volt rá keltsd újra a hype-ot termékeit körülvéve a OnePlus 3. Ezúttal a OnePlus nemcsak arról gondoskodott, hogy foglalkozzon a véleményezőknek és a felhasználóknak a OnePlus 2-vel szemben felhozott számos sérelmével, hanem még túl is haladt. a korai felülvizsgálati panaszok kezelése és forráskód kiadása egyedi ROM fejlesztők számára. A OnePlus ismét olyan terméket hozott létre, amely elég meggyőző ahhoz, hogy átgondoljam a következő Nexus telefon megjelenését, és több munkatársunk is vásároljon egyet (vagy kettőt) maguknak. De van egy probléma, amelytől néhány munkatársunk óvakodik: ez a szoftver. Eléggé megosztottak vagyunk a telefonhasználatunkkal kapcsolatban – néhányan a legszélesebb körben élnek, és egyedi ROM-okat, mint pl. A sultanxda nem hivatalos Cyanogenmod 13 a OnePlus 3-hoz, míg mások csak a törzs firmware-t futtatják a készülékükön. Munkatársaink között van némi nézeteltérés a nemrégiben megjelent lemez minőségével kapcsolatban OxygenOS 3.5 közösségépítés (amelyet egy későbbi cikkben fogunk megvizsgálni), de van egy probléma, amiben mindannyian egyetértünk: a teljes megdöbbenés amiatt, hogy a OnePlus HTTP-t használ az IMEI továbbítására, miközben a szoftverfrissítéseket keresi.
Igen, jól olvastad. Az Ön IMEI-je, a szám egyedileg azonosítja az adott telefont, elküldve titkosítatlan a OnePlus szervereire, amikor a telefon frissítést keres (felhasználói bevitellel vagy anélkül). Ez azt jelenti, hogy bárki, aki figyeli a hálózat hálózati forgalmát (vagy ön tudta nélkül, miközben Ön a nyilvános hotspothoz csatlakozva) megragadhatják az IMEI-jét, ha telefonja (vagy Ön) úgy dönt, hogy ideje ellenőrizni frissítés.
Az XDA Portal csapat tagja és korábbi fórummoderátor, b1nny, fedezte fel a problémát elfogja készüléke forgalmát segítségével mitmproxy és közzétett róla a OnePlus fórumain vissza július 4-én. Miután részletesebben megvizsgálta, mi történik, amikor a OnePlus 3 frissítést keresett, b1nny rájött, hogy a OnePlus nem igényel érvényes IMEI-t frissítést kínálni a felhasználónak. Ennek bizonyítására b1nny a Postman nevű Chrome-alkalmazás hogy küldjön egy HTTP POST kérést a OnePlus frissítési kiszolgálójának, és szerkesztette az IMEI-jét hulladékadatokkal. A szerver továbbra is visszaküldte a frissítési csomagot a vártnak megfelelően. A b1nny más felfedezéseket is tett az OTA folyamattal kapcsolatban (például azt, hogy a frissítési kiszolgálók meg vannak osztva Oppo), de a leginkább aggasztó az volt, hogy ezt az egyedi eszközazonosítót továbbították HTTP.
Még nincs javítás
Miután felfedezte a biztonsági problémát, b1nny mindent megtett, és megpróbálta felvenni a kapcsolatot mindkettővel OnePlus fórum moderátorai és ügyfélszolgálati képviselők akik esetleg továbbíthatják a kérdést a láncon feljebb az érintett csapatoknak. Egy moderátor azt állította, hogy a kiadott dokumentumot továbbadják; azonban nem tudott megerősítést kapni arról, hogy a kérdést vizsgálják. Amikor először felhívták a Redditors figyelmét a problémára az /r/Android subredditen, sokan aggódtak, de bíztak abban, hogy a probléma gyorsan megoldódik. Az XDA portálon mi is azt hittük, hogy a nem biztonságos HTTP POST metódus, amelyet az OTA-kiszolgáló frissítéshez való pingelésére használnak, végül kijavítják. A problémát kezdetben az operációs rendszer OxygenOS 3.2.1-es verzióján fedezték fel (bár létezhetett volna a korábbi verziókban is Nos), de b1nny tegnap megerősítette velünk, hogy a probléma továbbra is fennáll az Oxygen OS legújabb stabil verzióján: verzió 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Az OxygenOS 3.5 közösségi build nemrégiben való megjelenésével azonban ismét kíváncsiak voltunk, hogy a probléma továbbra is fennáll-e. Megkerestük a OnePlus-t ezzel a problémával kapcsolatban, és a cég szóvivője közölte, hogy a problémát valóban javították. Azonban az egyik portáltagunk felvillantotta a legújabb közösségi felépítést, és mitmproxy segítségével lehallgatta a OnePlus 3 hálózati forgalmát, és meglepetésünkre felfedeztük, hogy Az OxygenOS továbbra is IMEI-t küldött a HTTP POST kérésben a frissítési kiszolgálónak.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Ez annak ellenére, hogy nyilvánvalóan megerősítették, hogy a probléma megoldódott, mélyen aggaszt bennünket az XDA-nál. Nincs értelme a OnePlusnak HTTP használatával kérést küldeni a szervereinek, ha csak akarják az IMEI-nket adatbányászati célokra használja, akkor valószínűleg sokkal biztonságosabb módon megtehetik módszer.
Az IMEI szivárog és te
Nincs semmi lényegesen veszélyes, ha az IMEI-je nyilvános hálózaton keresztül szivárog. Bár egyedileg azonosítja az eszközt, vannak más egyedi azonosítók is, amelyek rosszindulatúak lehetnek. Az alkalmazások hozzáférést kérhetnek hogy meglehetősen könnyen megtekinthesse a készülék IMEI-számát. Szóval mi a probléma? Attól függően, hogy hol él, az IMEI-jét felhasználhatja a kormány vagy egy hacker, aki láthatóan eléggé érdeklődik Ön iránt. De ez nem igazán aggasztja az átlagos felhasználót.
A legnagyobb lehetséges probléma az IMEI tiltott használata lehet: ideértve, de nem kizárólagosan, az IMEI feketelistára helyezését vagy az IMEI klónozását, hogy feketepiaci telefonokon használhassák. Ha bármelyik forgatókönyv bekövetkezne, hatalmas kényelmetlenséget okozhat, ha kiásná magát ebből a gödörből. Egy másik lehetséges probléma az olyan alkalmazásokkal kapcsolatos, amelyek továbbra is az IMEI-t használják azonosítóként. A Whatsapp például korábban egy MD5-ös hasított, fordított változat az IMEI-t a fiók jelszavaként. Miután körülnéztem az interneten, néhány homályos webhely azt állítja, hogy képes feltörni a Whatsapp-fiókokat telefonszám és IMEI használatával, de nem tudom ellenőrizni őket.
Még mindig, fontos megvédeni minden olyan információt, amely egyedileg azonosítja Önt vagy eszközeit. Ha az adatvédelmi kérdések fontosak az Ön számára, akkor a OnePlus ezen gyakorlatának aggályosnak kell lennie. Reméljük, hogy ez a cikk tájékoztatja Önt a mögöttes lehetséges biztonsági következményekről gyakorolni, és felhívni a OnePlus figyelmét erre a helyzetre (még egyszer), hogy javítható legyen azonnal.