[განახლება: შესწორება] Bootloader Protection Bypass აღმოჩენილია OnePlus 6-ზე (მოითხოვს ფიზიკურ წვდომას)

აღმოჩენილია სერიოზული დაუცველობა OnePlus 6-ის ჩამტვირთველში. ეს ექსპლოიტი, რომელიც მოითხოვს ფიზიკურ წვდომას, გვერდს უვლის უსაფრთხოების ყველა ზომას.

განახლება 6/9/18 14:31 CT: OnePlus-მა ამ თემაზე განცხადება გაავრცელა.

განახლება 6/15/18 10:47: OnePlus-მა დაიწყო გაშვება OxygenOS 5.1.7 ჩამტვირთველის დაუცველობის გამოსწორებით.

OnePlus 6 იყო ოფიციალური გახდა გასული თვის შუა რიცხვებში. მოწყობილობამ სულ ახლახან დაიწყო ჩვენი ფორუმების მომხმარებლებისა და დეველოპერების ხელში მოხვედრა და უკვე გვესმის შესრულებული სამუშაოს შესახებ. ან TWRP-ის ოფიციალური აშენება უკვე ხელმისაწვდომია და მუშაობა მიდის ლამაზად არაოფიციალურ LineageOS 15.1 GSI-ზე. OnePlus 6 არ იქცევს მხოლოდ ამ მოწყობილობით დაინტერესებული მომხმარებლების ყურადღებას მათი პირადი გამოყენებისთვის ან თუმცა, პროექტები, რადგან უსაფრთხოების მკვლევარები იწყებენ მოწყობილობის უფრო ახლოს დათვალიერებას, რათა ნახონ რა შეუძლიათ იპოვე.

ერთ-ერთი ასეთი მკვლევარი ჯეისონ დონენფელდი, პრეზიდენტი შპს Edge Security, ასევე ცნობილია XDA-ზე როგორც zx2c4, აღმოაჩინა დაუცველობა მოწყობილობაზე, რომელიც საშუალებას აძლევს მას ჩატვირთოს ნებისმიერი თვითნებური შეცვლილი სურათი, რომელიც

გვერდის ავლით ჩამტვირთველის დაცვის ზომებს (როგორიცაა ჩაკეტილი ჩამტვირთველი). (დაუცველობის გამოყენება მოითხოვს მოწყობილობაზე ფიზიკურ წვდომას.)

ეს დაუცველობა საშუალებას აძლევს თავდამსხმელს, რომელსაც აქვს ფიზიკური წვდომა და კომპიუტერთან დაკავშირებული კავშირი, აიღოს მოწყობილობაზე კონტროლი. თუ ჩატვირთვის სურათი მოდიფიცირებულია არასაიმედო ADB-ით და ADB-ით, როგორც root ნაგულისხმევად, მაშინ თავდამსხმელი ფიზიკური წვდომით ექნება სრული კონტროლი მოწყობილობაზე. სამარცხვინოსგან განსხვავებით"უკანა კარი" (რომელიც ნამდვილად არ იყო უკანა კარი) OnePlus 5T-ზე, ამ დაუცველობის გამოყენება არ მოითხოვს მომხმარებელს უკვე ჩართული ჰქონდეს USB Debugging. ეს ნიშნავს, რომ თავდამსხმელს სჭირდება მხოლოდ მოწყობილობაზე ხელის მოკიდება - და მეტი არაფერი - მასზე სრული წვდომის მისაღებად, თუ ისინი გამოიყენებენ ამ დაუცველობას OnePlus 6-ზე.

შეცდომა ეცნობა OnePlus-ის მრავალ ინჟინერს და ჯეისონ დონენფელდმა დაადასტურა, რომ უსაფრთხოების ჯგუფის წევრს აქვს აღიარა მოხსენება. ჩვენ მივყვებით ამ საკითხს მეტი ინფორმაციის მიღებისთანავე. ვიმედოვნებთ, რომ პატჩი სწრაფად გამოვა ჩამტვირთველისთვის, რათა ეს პრობლემა მოგვარდეს.


განახლება 1: OnePlus განცხადება

OnePlus-მა ამ საკითხთან დაკავშირებით განცხადება გააკეთა:

„ჩვენ სერიოზულად ვუყურებთ უსაფრთხოებას OnePlus-ში. ჩვენ კონტაქტში ვართ უსაფრთხოების მკვლევართან და პროგრამული უზრუნველყოფის განახლება მალე გამოვა." - OnePlus-ის სპიკერი

ჩვენ გავაგრძელებთ ამ თემის თვალყურის დევნებას და შეგატყობინებთ პროგრამული უზრუნველყოფის განახლების ხელმისაწვდომობის შემდეგ.

განახლება 2: გამოსწორება

OnePlus-მა დაიწყო OxygenOS 5.1.7-ის გამოშვება OnePlus 6-ისთვის 15 ივნისს. გამოსწორება ჩამტვირთველის დაუცველობისთვის.


ეს სტატია განახლდა იმისთვის, რომ ასახავდეს, რომ თავდამსხმელს ესაჭიროება ფიზიკური წვდომა მოწყობილობაზე, ისევე როგორც კომპიუტერთან მიბმული კავშირი დაუცველობის გამოსაყენებლად.