[Pembaruan: Perbaiki] Bypass Perlindungan Bootloader Ditemukan di OnePlus 6 (memerlukan akses fisik)

Xda FullOct 31, 2023
click fraud protection

Kerentanan serius pada bootloader OnePlus 6 telah ditemukan. Eksploitasi ini, yang memerlukan akses fisik, melewati semua tindakan keamanan.

Pembaruan 09/06/18 14:31 CT: OnePlus telah mengeluarkan pernyataan mengenai topik ini.

Pembaruan 15/06/18 10:47: OnePlus sudah mulai diluncurkan OksigenOS 5.1.7 dengan perbaikan untuk kerentanan bootloader.

OnePlus 6 adalah dijadikan resmi pada pertengahan bulan lalu. Perangkat ini baru saja mulai sampai ke tangan konsumen dan pengembang di forum kami, dan kami sudah mendengar tentang pekerjaan yang sedang dilakukan. Sebuah versi resmi TWRP sudah tersedia dan pekerjaan sedang berjalan baik pada LineageOS 15.1 GSI tidak resmi. OnePlus 6 tidak hanya menerima perhatian dari pengguna yang tertarik dengan perangkat ini untuk penggunaan pribadi atau proyek, namun, ketika peneliti keamanan mulai melihat lebih dekat perangkat tersebut untuk melihat apa yang bisa mereka lakukan menemukan.

Salah satu peneliti tersebut, Jason Donenfeld, presiden Keamanan Tepi LLC

, juga dikenal di XDA sebagai zx2c4, telah menemukan kerentanan pada perangkat yang memungkinkannya mem-boot gambar apa pun yang dimodifikasi secara sewenang-wenang melewati langkah-langkah perlindungan bootloader (seperti bootloader yang terkunci). (Mengeksploitasi kerentanan memerlukan akses fisik ke perangkat.)

Kerentanan ini memungkinkan penyerang dengan akses fisik dan koneksi tertambat ke PC untuk mengambil kendali perangkat. Jika image boot diubah dengan ADB yang tidak aman dan ADB sebagai root secara default, maka penyerang memiliki akses fisik akan memiliki kendali penuh atas perangkat. Berbeda dengan yang terkenal "pintu belakang" (yang sebenarnya bukan pintu belakang) pada OnePlus 5T, mengeksploitasi kerentanan ini tidak mengharuskan pengguna untuk mengaktifkan USB Debugging. Artinya, penyerang hanya perlu mendapatkan perangkat tersebut—dan tidak lebih—untuk mendapatkan akses penuh ke perangkat tersebut jika mereka mengeksploitasi kerentanan ini di OnePlus 6.

Bug tersebut dilaporkan ke beberapa insinyur OnePlus dan Jason Donenfeld telah mengonfirmasi bahwa anggota tim keamanan telah melakukannya mengakui laporan itu. Kami akan menindaklanjuti masalah ini ketika informasi lebih lanjut tersedia. Kami berharap patch untuk bootloader segera dirilis sehingga masalah ini dapat teratasi.

Pembaruan 1: Pernyataan OnePlus

OnePlus telah memberikan pernyataan tentang masalah ini:

“Kami menganggap serius keamanan di OnePlus. Kami sedang menghubungi peneliti keamanan, dan pembaruan perangkat lunak akan segera diluncurkan." - Juru bicara OnePlus

Kami akan terus mengikuti topik ini dan akan mengabari Anda setelah pembaruan perangkat lunak tersedia.

Pembaruan 2: Perbaiki

OnePlus telah mulai meluncurkan OxygenOS 5.1.7 untuk OnePlus 6 pada tanggal 15 Juni dengan perbaikan untuk kerentanan bootloader.

Artikel ini diperbarui untuk mencerminkan bahwa penyerang memerlukan akses fisik ke perangkat serta koneksi tertambat ke PC untuk mengeksploitasi kerentanan.