Ponsel OnePlus yang menjalankan OxygenOS membocorkan IMEI ponsel Anda setiap kali ponsel Anda memeriksa pembaruan. Telepon menggunakan permintaan HTTP POST yang tidak aman.
Itu Satu tambah satu adalah salah satu ponsel pintar Android pertama yang membuktikan bahwa konsumen tidak perlu mengeluarkan uang sebesar $600+ untuk mendapatkan pengalaman unggulan. Dengan kata lain, bahkan pada titik harga yang lebih rendah Anda harus melakukannya tidak pernah menetap untuk membeli produk inferior.
Saya masih ingat hype seputar pengungkapan spesifikasi OnePlus One - perusahaan memanfaatkan fanatisme yang ditunjukkan oleh para penggemar Android ketika menyangkut kebocoran. OnePlus memutuskan untuk perlahan-lahan mengungkap spesifikasi ponsel satu per satu selama beberapa minggu sebelum peluncuran resmi - dan itu berhasil.
Pada saat itu, kami ngiler melihat penggunaan Snapdragon 801 pada ponsel dengan layar 5,5 inci 1080p serta kemitraan yang sangat menarik dengan startup pemula Cyanogen Inc. (di antaranya adalah penggemar Android
sangat bersemangat karena popularitas CyanogenMod). Dan kemudian OnePlus memberikan kejutan terbesar bagi kita semua – harga awal $299. Hanya satu ponsel lain yang benar-benar membuat saya takjub karena performa biayanya - Nexus 5 - dan OnePlus One berhasil mengeluarkannya dari air. Saya ingat banyak penggemar Nexus bingung antara melakukan upgrade ke OnePlus One atau menunggu rilis Nexus berikutnya.Tapi kemudian OnePlus membuat serangkaian keputusan Meskipun beberapa hal tersebut dapat dibenarkan secara ekonomi, hal ini telah mematikan momentum merek tersebut di kalangan penggemar Android. Pertama kontroversi seputar sistem undangan, lalu muncul iklan kontroversial dan berselisih dengan Cyanogen, Kemudian perusahaan menerima kebencian terhadapnya OnePlus 2 rilis yang di mata banyak orang gagal untuk hidup dengan julukan "Pembunuh Unggulan", dan Akhirnya ada anak tiri berambut merah OnePlus X smartphone yang baru saja diterima Android Marshmallow A beberapa hari yang lalu.
Dua langkah maju, satu langkah mundur
Sebagai penghargaan bagi OnePlus, perusahaan tersebut mampu melakukannya menghidupkan kembali hype mengelilingi produknya dengan OnePlus 3. Kali ini, OnePlus tidak hanya memastikan untuk mengatasi banyak keluhan pengulas dan pengguna terhadap OnePlus 2, namun bahkan melangkah lebih jauh dalam hal ini. menangani keluhan tinjauan awal Dan merilis kode sumber untuk pengembang ROM khusus. Sekali lagi, OnePlus telah menciptakan produk yang cukup menarik sehingga saya mempertimbangkan kembali untuk menunggu peluncuran ponsel Nexus berikutnya, dan meminta beberapa anggota staf kami untuk membelinya (atau dua) untuk mereka sendiri. Namun ada satu masalah yang diwaspadai oleh beberapa staf kami - perangkat lunak. Kami cukup terpecah dalam cara kami menggunakan ponsel - beberapa dari kami hidup di ujung tombak dan mem-flash ROM khusus seperti itu Cyanogenmod 13 tidak resmi sultanxda untuk OnePlus 3, sementara yang lain hanya menjalankan firmware bawaan di perangkat mereka. Di antara staf kami, ada beberapa perbedaan pendapat mengenai kualitas film yang baru dirilis Pembuatan komunitas OxygenOS 3.5 (yang akan kita bahas di artikel mendatang), namun ada satu masalah yang kita semua sepakati: sangat bingung dengan kenyataan bahwa OnePlus menggunakan HTTP untuk mengirimkan IMEI Anda saat memeriksa pembaruan perangkat lunak.
Ya, Anda membacanya dengan benar. IMEI Anda, nomor itu secara unik mengidentifikasi telepon khusus Anda, terkirim tidak terenkripsi ke server OnePlus saat ponsel Anda memeriksa pembaruan (dengan atau tanpa masukan pengguna). Artinya, siapa pun yang mendengarkan lalu lintas jaringan di jaringan Anda (atau tanpa sepengetahuan Anda, saat Anda menjelajahi forum saat terhubung ke hotspot publik) dapat mengambil IMEI Anda jika ponsel Anda (atau Anda) memutuskan sudah waktunya untuk memeriksa memperbarui.
Anggota Tim Portal XDA dan mantan Moderator Forum, b1nny, menemukan masalahnya oleh mencegat lalu lintas perangkatnya menggunakan mitmproxy dan mempostingnya di forum OnePlus kembali pada tanggal 4 Juli. Setelah menggali lebih jauh apa yang terjadi ketika OnePlus 3 miliknya sedang memeriksa pembaruan, b1nny menemukan bahwa OnePlus tidak memerlukan IMEI yang valid untuk menawarkan pembaruan kepada pengguna. Untuk membuktikannya, b1nny menggunakan a Aplikasi Chrome bernama Tukang Pos untuk mengirim permintaan HTTP POST ke server pembaruan OnePlus dan mengedit IMEI-nya dengan data sampah. Server masih mengembalikan paket pembaruan seperti yang diharapkan. b1nny membuat penemuan lain mengenai proses OTA (seperti fakta bahwa server pembaruan dibagikan Oppo), namun bagian yang paling memprihatinkan adalah fakta bahwa pengenal perangkat unik ini dikirimkan HTTP.
Belum Ada Perbaikan yang Terlihat
Setelah menemukan masalah keamanan, b1nny melakukan uji tuntas dan berusaha menghubungi keduanya Moderator forum OnePlus Dan perwakilan layanan pelanggan yang mungkin dapat meneruskan permasalahan ini ke tim terkait. Seorang moderator mengklaim bahwa penerbitan tersebut akan diteruskan; namun, dia tidak dapat menerima konfirmasi apa pun bahwa masalah tersebut sedang diselidiki. Saat masalah ini pertama kali menjadi perhatian Redditor di subreddit /r/Android, banyak yang khawatir namun yakin bahwa masalah tersebut akan segera teratasi. Di Portal XDA, kami juga percaya bahwa metode HTTP POST tidak aman yang digunakan untuk melakukan ping ke server OTA untuk pembaruan pada akhirnya akan diperbaiki. Penemuan awal masalah ini terjadi pada OS OxygenOS versi 3.2.1 (meskipun masalah ini bisa saja ada di versi sebelumnya sebagai baiklah), tetapi b1nny mengonfirmasi kepada kami kemarin bahwa masalah tersebut masih berlanjut pada versi stabil terbaru dari Oxygen OS: version 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Namun, dengan dirilisnya komunitas OxygenOS 3.5 baru-baru ini, kami kembali penasaran untuk melihat apakah masalah tersebut masih berlanjut. Kami menghubungi OnePlus mengenai masalah ini dan diberi tahu oleh juru bicara perusahaan bahwa masalah tersebut memang telah diperbaiki. Namun, salah satu anggota portal kami mem-flash build komunitas terbaru dan menggunakan mitmproxy untuk mencegat lalu lintas jaringan OnePlus 3 miliknya, dan yang mengejutkan kami, kami menemukan bahwa OxygenOS masih mengirimkan IMEI dalam permintaan HTTP POST ke server pembaruan.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Hal ini, meskipun terdapat konfirmasi yang jelas bahwa masalah tersebut telah diselesaikan, sangat mengkhawatirkan kami di XDA. Tidak masuk akal bagi OnePlus untuk menggunakan HTTP untuk mengirim permintaan ke servernya, jika mereka menginginkannya lakukan adalah menggunakan IMEI kita untuk keperluan data mining maka mereka mungkin bisa melakukannya dengan cara yang jauh lebih aman metode.
Kebocoran IMEI dan Anda
Tidak ada apa-apa secara substansial berbahaya jika IMEI Anda bocor melalui jaringan publik. Meskipun ini mengidentifikasi perangkat Anda secara unik, ada pengenal unik lainnya yang dapat digunakan untuk tujuan jahat. Aplikasi dapat meminta akses untuk melihat IMEI perangkat Anda dengan cukup mudah. Jadi apa masalahnya? Tergantung di mana Anda tinggal, IMEI Anda dapat digunakan untuk melacak Anda oleh pemerintah atau peretas yang tampaknya cukup tertarik pada Anda. Namun hal tersebut bukanlah kekhawatiran bagi rata-rata pengguna.
Potensi masalah terbesar bisa jadi adalah penggunaan IMEI Anda secara tidak sah: termasuk namun tidak terbatas pada memasukkan IMEI Anda ke dalam daftar hitam atau mengkloning IMEI untuk digunakan pada ponsel pasar gelap. Jika salah satu skenario tersebut terjadi, akan sangat merepotkan jika Anda berusaha keluar dari lubang ini. Masalah potensial lainnya adalah mengenai aplikasi yang masih menggunakan IMEI Anda sebagai pengenal. Whatsapp, misalnya, dulu menggunakan Versi terbalik dengan hash MD5 IMEI Anda sebagai kata sandi akun Anda. Setelah mencari-cari secara online, beberapa situs web mencurigakan mengklaim dapat meretas akun Whatsapp menggunakan nomor telepon dan IMEI, namun saya tidak dapat memverifikasinya.
Tetap, penting untuk melindungi informasi apa pun yang secara unik mengidentifikasi Anda atau perangkat Anda. Jika masalah privasi penting bagi Anda, maka praktik OnePlus ini patut menjadi perhatian. Kami berharap artikel ini dapat memberi tahu Anda tentang potensi implikasi keamanan di balik hal ini berlatih, dan agar situasi ini menjadi perhatian OnePlus (sekali lagi) agar dapat diperbaiki tepat.