OxygenOS を実行している OnePlus スマートフォンでは、スマートフォンがアップデートをチェックするたびに、スマートフォンの IMEI が漏洩します。 電話機は安全でない HTTP POST 要求を使用します。
の 1 + 1 は、消費者がフラッグシップ エクスペリエンスを得るために 600 ドル以上を支払う必要がないことを証明した最初の Android スマートフォンの 1 つです。 言い換えれば、たとえ低価格帯であっても、 解決しません 粗悪品を購入した場合。
OnePlus One の仕様公開に関する誇大宣伝を今でも覚えています。同社は、リークに関して Android 愛好家が示す熱狂的な態度を利用していました。 OnePlus は、正式な発売に先立って、数週間かけて携帯電話の仕様を 1 つずつゆっくりと公開することにしましたが、それはうまくいきました。
当時、私たちは、5.5 インチ 1080p ディスプレイを備えた Snapdragon 801 の携帯電話の使用と、新興スタートアップ企業 Cyanogen Inc. との非常に魅力的なパートナーシップに唾液を垂らしました。 (そのうち Android 愛好家は とても CyanogenMod の人気により興奮しています)。 そして、OnePlus は私たち全員に最大の爆弾を投下しました - 開始価格は 299 ドルです。 そのコストパフォーマンスで本当に驚かされたのは、もう 1 台だけです - Nexus 5 - OnePlus One は水から飛び出た. 多くの Nexus 愛好家が、OnePlus One にアップグレードするか、次の Nexus のリリースを待つかで悩んでいたのを覚えています。
しかしその後、OnePlus は 一連の決断 それは経済的に正当なものもありましたが、Android 愛好家の間でのブランドの勢いをいくらか殺しました。 最初は招待システムをめぐる論争で、次に物議を醸した広告や シアンとの脱落, それから 会社はそのことに対していくらかの嫌悪感を抱いた ワンプラス2 多くの人の目に映るリリース 生き延びることに失敗した 「フラッグシップキラー」というあだ名に、 ついに 赤毛の継子がいる ワンプラスX 届いたばかりのスマートフォン アンドロイドマシュマロ ある 数日前.
二歩進んで一歩下がる
OnePlus の名誉のために言っておきますが、同社は次のことを行うことができました。 誇大宣伝を再燃させる 製品の周りを ワンプラス3. 今回、OnePlus は、OnePlus 2 に対してレビュアーやユーザーが抱いていた多くの不満に確実に対処しただけでなく、それを超えた取り組みを行いました。 早期レビューの苦情に対処する そして ソースコードを公開する カスタムROM開発者向け。 もう一度言いますが、OnePlus は、次の Nexus 携帯電話のリリースを待つことを再考させ、スタッフの何人かに購入してもらうのに十分な説得力のある製品を作成しました (または2つ)自分自身のために。 しかし、一部のスタッフが警戒している問題が 1 つあります。それはソフトウェアです。 携帯電話の使い方については、かなり意見が分かれています。最先端の環境で生活し、次のようなカスタム ROM をフラッシュしている人もいます。 sultanxda の非公式 Cyanogenmod 13 OnePlus 3 の場合は、デバイス上のストック ファームウェアのみを実行するものもあります。 私たちのスタッフの間では、最近リリースされた製品の品質について意見の相違があります。 OxygenOS 3.5 コミュニティ ビルド (これについては今後の記事で検討します) しかし、私たち全員が同意する問題が 1 つあります。それは、OnePlus が ソフトウェアのアップデートを確認する際に、HTTP を使用して IMEI を送信します。
はい、そのとおりです。 あなたのIMEI、その番号 あなたの特定の電話を一意に識別します、送信されます 暗号化されていない 携帯電話が更新を確認するときに (ユーザー入力の有無にかかわらず) OnePlus のサーバーに送信されます。 これは、あなたのネットワーク内のネットワーク トラフィックを傍受している (または、あなたが Web サイトを閲覧している間に、知らないうちに) 誰かがネットワーク トラフィックを傍受していることを意味します。 携帯電話 (またはあなた) が公共ホットスポットに接続しているときにフォーラムなどで IMEI を確認する必要があると判断した場合、IMEI を取得できます。 アップデート。
XDA ポータル チームのメンバーで元フォーラム モデレーター、 ビーニー、問題を発見したのは 彼のデバイスのトラフィックを傍受する を使用して ミットプロキシ そしてそれについてOnePlusフォーラムに投稿しました 7月4日に戻って. b1nny は、OnePlus 3 がアップデートをチェックしているときに何が起こっていたのかをさらに詳しく調べた結果、OnePlus が次のことを行っていることを発見しました。 有効なIMEIは必要ありません ユーザーにアップデートを提供するため。 これを証明するために、b1nny は PostmanというChromeアプリ OnePlus のアップデート サーバーに HTTP POST リクエストを送信し、IMEI をガベージ データで編集しました。 サーバー それでも期待どおりに更新パッケージが返されました. b1nny は、OTA プロセスに関する他の発見をしました (更新サーバーが共有されているという事実など)。 Oppo)、しかし最も懸念される部分は、この一意のデバイス識別子が送信されているという事実でした。 HTTP。
まだ修正の目処は立っていない
セキュリティ問題を発見した後、b1nny はデューデリジェンスを行い、両方に連絡を試みました。 OnePlus フォーラムのモデレーター そして カスタマーサービス担当者 問題を関連チームに転送できる可能性がある人。 モデレーターは、発行された内容は引き継がれると主張しました。 しかし、この問題が調査されているという確証は得られなかった。 この問題が最初に /r/Android サブレディットで Redditor の注意を引いたとき、多くの人が懸念していましたが、問題は迅速に解決されると確信していました。 XDA ポータルでは、更新のために OTA サーバーに ping を送信するために使用される安全でない HTTP POST メソッドが最終的には修正されると信じていました。 この問題が最初に発見されたのは、OS の OxygenOS バージョン 3.2.1 でした (ただし、以前のバージョンにも存在していた可能性があります)。 まあ)しかし、b1nny は昨日、Oxygen OS の最新の安定バージョンでも問題がまだ解決していないことを確認しました: バージョン 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
しかし、OxygenOS 3.5 コミュニティ ビルドの最近のリリースにより、問題が継続するかどうかを再度確認することにしました。 この問題に関して私たちは OnePlus に問い合わせたところ、同社の広報担当者から、この問題は実際にパッチされたとのことでした。 しかし、ポータル メンバーの 1 人に最新のコミュニティ ビルドをフラッシュさせ、mitmproxy を使用して OnePlus 3 のネットワーク トラフィックを傍受してもらいました。そして驚いたことに、次のことが判明しました。 OxygenOS は依然として HTTP POST リクエストで IMEI を更新サーバーに送信していました.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
問題が解決されたことが明らかに確認されたにもかかわらず、これは XDA にとって非常に心配です。 OnePlus が望んでいるのであれば、HTTP を使用してサーバーにリクエストを送信することは意味がありません。 データ マイニングの目的で IMEI を使用するのであれば、おそらくもっと安全な方法で使用できるでしょう。 方法。
IMEI漏洩とあなた
何もありません 実質的に IMEI が公衆ネットワーク上に漏洩するのは危険です。 これはデバイスを一意に識別しますが、悪意を持って使用される可能性のある他にも一意の識別子があります。 アプリケーションはアクセスを要求できます デバイスの IMEI を簡単に確認できます。 それで、何が問題なのでしょうか? あなたが住んでいる場所によっては、あなたの IMEI が、明らかにあなたに興味を持っている政府やハッカーによってあなたを追跡するために使用される可能性があります。 しかし、これらは平均的なユーザーにとってはそれほど心配するものではありません。
潜在的な最大の問題は、IMEI の不正使用である可能性があります。これには、IMEI のブラックリストへの登録や、闇市場の携帯電話で使用するための IMEI の複製が含まれますが、これらに限定されません。 どちらかのシナリオが発生した場合、この穴から自分で掘り出すのは非常に不便になる可能性があります。 もう 1 つの潜在的な問題は、IMEI を識別子として引き続き使用するアプリケーションに関するものです。 たとえば、Whatsapp は以前は MD5 ハッシュの反転バージョン IMEI をアカウントのパスワードとして使用します。 オンラインで調べてみると、電話番号と IMEI を使用して Whatsapp アカウントをハッキングできると主張する怪しい Web サイトがいくつかありましたが、確認できませんでした。
まだ、 あなたまたはあなたのデバイスを一意に識別する情報を保護することが重要です. プライバシーの問題があなたにとって重要である場合、OnePlus によるこの慣行は懸念すべきです。 この記事が、この問題の背後にある潜在的なセキュリティへの影響について知らせることを願っています。 練習し、この状況を (もう一度) OnePlus に知らせて修正できるようにする すぐに。