OnePlus 6 ブートローダーに重大な脆弱性が発見されました。 このエクスプロイトは物理的なアクセスを必要とし、すべてのセキュリティ対策をバイパスします。
更新 6/9/18 午後 2:31 (中部時間): OnePlus は、このトピックに関して声明を発表しました。
更新 2018 年 6 月 15 日 10:47AM: OnePlus の展開が開始されました オキシジェンOS 5.1.7 ブートローダーの脆弱性が修正されました。
OnePlus 6は 公式にされました 先月中旬。 このデバイスは、私たちのフォーラムで消費者や開発者の手に渡り始めたのはつい最近であり、すでに行われている取り組みについて聞いています。 アン TWRPの公式ビルド すでに利用可能であり、作業が進んでいます 非公式 LineageOS 15.1 GSI ではうまく動作. OnePlus 6 は、個人的な使用や、このデバイスに興味のあるユーザーだけから注目を集めているわけではありません。 ただし、セキュリティ研究者がデバイスを詳しく調べて何ができるかを確認し始めているため、プロジェクトは成功しません。 探す。
そのような研究者の一人、ジェイソン・ドネンフェルド氏は、 エッジセキュリティLLC、XDA では次のように知られています zx2c4は、任意に変更されたイメージを起動できるようにするデバイスの脆弱性を発見しました。 ブートローダー保護対策をバイパスします (ロックされたブートローダーなど)。 (この脆弱性を悪用するには、デバイスへの物理的なアクセスが必要です。)
この脆弱性により、攻撃者が物理的にアクセスし、PC にテザリング接続してデバイスを制御できるようになります。 ブート イメージが安全でない ADB で変更され、ADB がデフォルトでルートになっている場合、攻撃者は物理的なアクセス権を持ちます。 デバイスを完全に制御できるようになります. 悪名高い「」とは異なります。裏口OnePlus 5T では (実際にはバックドアではありませんでした)、この脆弱性を悪用するには、ユーザーが USB デバッグをすでに有効にする必要はありません。 つまり、攻撃者が OnePlus 6 のこの脆弱性を悪用した場合、デバイスを手に入れるだけで完全にアクセスできるようになります。
このバグは OnePlus の複数のエンジニアに報告され、ジェイソン ドネンフェルド氏はセキュリティ チームのメンバーが次のことを行ったことを認めました。
報告を認めた. さらなる情報が入手可能になり次第、この件についてフォローアップしていきます。 この問題が解決されるよう、ブートローダー用のパッチがすぐにリリースされることを願っています。アップデート 1: OnePlus の声明
OnePlusはこの件に関して次のような声明を発表した。
「OnePlus ではセキュリティを真剣に考えています。 私たちはセキュリティ研究者と連絡を取り合っており、ソフトウェアアップデートは間もなく公開される予定です。」 - OnePlus 広報担当者
私たちは引き続きこのトピックをフォローし、ソフトウェア アップデートが利用可能になったら更新します。
アップデート 2: 修正
OnePlus は、6 月 15 日に OnePlus 6 用の OxygenOS 5.1.7 の展開を開始しました。 修正 ブートローダーの脆弱性について。
この記事は、攻撃者がこの脆弱性を悪用するには、デバイスへの物理的なアクセスと PC へのテザリング接続が必要であることを反映して更新されました。