OnePlus-ის ტელეფონები, რომლებიც მუშაობენ OxygenOS-ზე, გაჟონავს თქვენი ტელეფონის IMEI-ს, როდესაც თქვენი ტელეფონი ამოწმებს განახლებას. ტელეფონი იყენებს დაუცველ HTTP POST მოთხოვნას.
The OnePlus One იყო ერთ-ერთი პირველი Android სმარტფონი, რომელმაც დაამტკიცა, რომ მომხმარებლებს არ სჭირდებოდათ $600+ დახარჯვა ფლაგმანი გამოცდილებისთვის. სხვა სიტყვებით რომ ვთქვათ, დაბალ ფასშიც კი უნდა არასოდეს მოაგვაროს არასრულფასოვანი პროდუქტის შესაძენად.
მე ჯერ კიდევ მახსოვს აჟიოტაჟი OnePlus One-ის სპეციფიკაციების გამოვლენის გარშემო - კომპანიამ გამოიყენა Android-ის მოყვარულების მიერ გამოვლენილი ფანატიზმი, როდესაც საქმე გაჟონვას ეხებოდა. OnePlus-მა გადაწყვიტა ნელ-ნელა გამოეჩინა ტელეფონის სპეციფიკაციები ოფიციალურ გაშვებამდე რამდენიმე კვირით ადრე - და იმუშავა.
იმ დროს, ჩვენ ნერწყვი გამოვიყენეთ ტელეფონის მიერ Snapdragon 801-ის 5.5 დიუმიანი 1080p დისპლეით, ასევე ძალიან მიმზიდველი პარტნიორობით ახალ სტარტაპ Cyanogen Inc-თან. (რომლებიც იყვნენ ანდროიდის ენთუზიასტები ძალიან აღფრთოვანებული CyanogenMod-ის პოპულარობის გამო). შემდეგ კი OnePlus-მა ყველაზე დიდი ბომბი მოგვაგდო - $299 საწყისი ფასი. მხოლოდ ერთმა სხვა ტელეფონმა ნამდვილად გამაოცა თავისი ღირებულებით - Nexus 5 - და
OnePlus One-მა ის წყლიდან ამოიღო. მახსოვს Nexus-ის ბევრი ენთუზიასტი, რომლებიც გაწყვეტილი იყვნენ OnePlus One-ის განახლების გაკეთებასა თუ შემდეგი Nexus-ის გამოშვების მოლოდინში.მაგრამ შემდეგ OnePlus-მა შექმნა ა გადაწყვეტილებების სერია რომ, მიუხედავად იმისა, რომ ზოგიერთი ეკონომიკურად გამართლებული იყო, გარკვეული იმპულსი მოკლა ბრენდისთვის Android-ის მოყვარულთა შორის. ჯერ იყო დაპირისპირება მოწვევის სისტემასთან დაკავშირებით, შემდეგ მოვიდა საკამათო რეკლამები და ცვენა ციანოგენთან, მაშინ კომპანიამ მიიღო გარკვეული სიძულვილი OnePlus 2 გათავისუფლება, რომელიც ბევრი ადამიანის თვალშია ვერ იცოცხლა მისი „ფლაგმანი მკვლელი“ გვარით და ბოლოს და ბოლოს აქ არის წითური დედინაცვალი OnePlus X სმარტფონი, რომელიც ახლახან მიიღო Android Marshmallow ა რამდენიმე დღის წინ.
ორი ნაბიჯი წინ, ერთი ნაბიჯი უკან
OnePlus-ის დამსახურებით, კომპანიამ შეძლო აღადგინოს აჟიოტაჟი გარშემორტყმული მისი პროდუქტებით OnePlus 3. ამჯერად, OnePlus-მა არა მხოლოდ დარწმუნდა, რომ მიმოიხილა მრავალი საჩივარი, რომელსაც მიმომხილველები და მომხმარებლები ჰქონდათ OnePlus 2-ის წინააღმდეგ, არამედ სცილდებოდა კიდეც. ადრეული განხილვის საჩივრების განხილვა და წყაროს კოდის გათავისუფლება საბაჟო ROM დეველოპერებისთვის. კიდევ ერთხელ, OnePlus-მა შექმნა საკმარისად დამაჯერებელი პროდუქტი, რომ გადამეფიქრებინა შემდეგი Nexus ტელეფონის გამოშვების მოლოდინში და ჩვენი პერსონალის რამდენიმე წევრმა იყიდოს ერთი (ან ორი) მათთვის. მაგრამ არის ერთი საკითხი, რომლის მიმართაც ჩვენი თანამშრომლების ნაწილი უფრთხილდება - პროგრამული უზრუნველყოფა. ჩვენ საკმაოდ გაყოფილი ვართ იმის შესახებ, თუ როგორ ვიყენებთ ჩვენს ტელეფონებს - ზოგიერთი ჩვენგანი ცხოვრობს სისხლდენის ზღვარზე და ფლეშ ჩვეული ROM-ები, როგორიცაა sultanxda-ს არაოფიციალური Cyanogenmod 13 OnePlus 3-ისთვის, სხვები კი მხოლოდ მარაგის პროგრამულ უზრუნველყოფას აწარმოებენ თავიანთ მოწყობილობაზე. ჩვენს თანამშრომლებს შორის არის გარკვეული უთანხმოება ახლახან გამოშვებული გამოშვების ხარისხთან დაკავშირებით OxygenOS 3.5 საზოგადოების აშენება (რომელსაც მომავალ სტატიაში განვიხილავთ), მაგრამ არის ერთ საკითხზე, რაზეც ყველა ვეთანხმებით: სრული გაკვირვება იმ ფაქტთან დაკავშირებით, რომ OnePlus იყენებს HTTP-ს თქვენი IMEI-ს გადასაცემად პროგრამული უზრუნველყოფის განახლებების შემოწმებისას.
დიახ, თქვენ სწორად წაიკითხეთ. თქვენი IMEI, ნომერი, რომელიც ცალსახად განსაზღვრავს თქვენს კონკრეტულ ტელეფონს, გაგზავნილია დაშიფრული OnePlus-ის სერვერებზე, როდესაც თქვენი ტელეფონი ამოწმებს განახლებას (მომხმარებლის შეყვანით ან მის გარეშე). ეს ნიშნავს, რომ ნებისმიერი, ვინც უსმენს თქვენს ქსელში არსებულ ქსელურ ტრაფიკს (ან თქვენ არ იცით, სანამ თქვენ ათვალიერებთ ჩვენს ფორუმებს, როდესაც დაკავშირებულია საჯარო ცხელ წერტილთან) შეუძლიათ აითვისონ თქვენი IMEI, თუ თქვენი ტელეფონი (ან თქვენ) გადაწყვეტთ, რომ დროა შეამოწმოთ განახლება.
XDA პორტალის გუნდის წევრი და ფორუმის ყოფილი მოდერატორი, b1nny, აღმოაჩინა საკითხი მისი მოწყობილობის ტრაფიკის ჩაჭრა გამოყენებით მიტპროქსი და გამოაქვეყნა ამის შესახებ OnePlus-ის ფორუმებზე ისევ 4 ივლისს. მას შემდეგ, რაც კიდევ ერთხელ ჩათხარი რა ხდებოდა, როდესაც მისი OnePlus 3 ამოწმებდა განახლებას, b1nny-მ აღმოაჩინა, რომ OnePlus არ საჭიროებს მოქმედ IMEI-ს შესთავაზოს მომხმარებელს განახლება. ამის დასამტკიცებლად b1nny-მ გამოიყენა ა Chrome აპი სახელწოდებით Postman გაგზავნოს HTTP POST მოთხოვნა OnePlus-ის განახლების სერვერზე და დაარედაქტიროს მისი IMEI ნაგვის მონაცემებით. სერვერი კვლავ დააბრუნა განახლების პაკეტი, როგორც მოსალოდნელი იყო. b1nny-მ სხვა აღმოჩენები გააკეთა OTA პროცესთან დაკავშირებით (მაგალითად, განახლების სერვერების გაზიარება Oppo), მაგრამ ყველაზე შემაშფოთებელი იყო ის ფაქტი, რომ ამ უნიკალური მოწყობილობის იდენტიფიკატორი გადაცემული იყო HTTP.
შეკეთება ჯერ არ ჩანს
უსაფრთხოების საკითხის აღმოჩენის შემდეგ, b1nny-მ ჩაატარა სათანადო ყურადღება და სცადა ორივესთან დაკავშირება OnePlus ფორუმის მოდერატორები და მომხმარებელთა მომსახურების წარმომადგენლები ვინც შეძლებს საკითხის ჯაჭვის ზემოთ შესაბამის გუნდებს გადაგზავნას. მოდერატორი აცხადებდა, რომ გაცემული გადაეცემოდა; თუმცა, მან ვერ მიიღო რაიმე დადასტურება, რომ საკითხი განიხილებოდა. როდესაც საკითხი თავდაპირველად Redditors-ის ყურადღების ცენტრში მოექცა /r/Android subreddit-ზე, ბევრი იყო შეშფოთებული, მაგრამ დარწმუნებული იყო, რომ ეს საკითხი სწრაფად მოგვარდებოდა. XDA პორტალზე ჩვენც გვჯეროდა, რომ დაუცველი HTTP POST მეთოდი, რომელიც გამოიყენება OTA სერვერის განახლებისთვის პინგისთვის, საბოლოოდ გამოსწორდებოდა. საკითხის თავდაპირველი აღმოჩენა იყო OS-ის OxygenOS ვერსია 3.2.1 (თუმცა ის შეიძლება არსებობდეს წინა ვერსიებში, როგორც კარგად), მაგრამ b1nny-მ გუშინ დაადასტურა ჩვენთან, რომ პრობლემა კვლავ რჩება Oxygen OS-ის უახლეს სტაბილურ ვერსიაზე: ვერსიაზე 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
თუმცა, OxygenOS 3.5 საზოგადოების კონსტრუქციის ბოლო გამოშვებით, ჩვენ კვლავ გვაინტერესებდა, გვენახა თუ არა პრობლემა შენარჩუნებული. ჩვენ დავუკავშირდით OnePlus-ს ამ საკითხთან დაკავშირებით და კომპანიის წარმომადგენელმა გვითხრა, რომ ეს საკითხი მართლაც მოგვარებულია. თუმცა, ჩვენ გვქონდა ჩვენი პორტალის ერთ-ერთმა წევრმა გამოანათა უახლესი საზოგადოება და გამოიყენა mitmproxy მისი OnePlus 3-ის ქსელის ტრაფიკის დასაჭერად და ჩვენდა გასაკვირად აღმოვაჩინეთ, რომ OxygenOS კვლავ აგზავნიდა IMEI-ს HTTP POST მოთხოვნაში განახლების სერვერზე.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
ეს, მიუხედავად აშკარა დადასტურებისა, რომ საკითხი მოგვარებულია, ღრმად გვაწუხებს XDA-ში. აზრი არ აქვს OnePlus-ს გამოიყენოს HTTP მოთხოვნის გასაგზავნად თავის სერვერებზე, თუ მათ სურთ. ამის გაკეთება არის ჩვენი IMEI-ის გამოყენება მონაცემთა მოპოვების მიზნებისთვის, მაშინ მათ ამის გაკეთება შეუძლიათ ბევრად უფრო უსაფრთხოდ მეთოდი.
IMEI Leaks და შენ
არაფერია არსებითად სახიფათოა თქვენი IMEI საჯარო ქსელში გაჟონვის გამო. მიუხედავად იმისა, რომ ის ცალსახად განსაზღვრავს თქვენს მოწყობილობას, არსებობს სხვა უნიკალური იდენტიფიკატორები, რომლებიც შეიძლება გამოყენებულ იქნას მავნე. აპლიკაციებს შეუძლიათ მოითხოვონ წვდომა რომ ნახოთ თქვენი მოწყობილობის IMEI საკმაოდ მარტივად. მაშ რაშია საქმე? იმისდა მიხედვით, თუ სად ცხოვრობთ, თქვენი IMEI შეიძლება გამოყენებულ იქნას თქვენს თვალყურის დევნებისთვის მთავრობის ან ჰაკერის მიერ, რომელიც აშკარად საკმარისად არის დაინტერესებული თქვენით. მაგრამ ეს ნამდვილად არ არის შეშფოთება საშუალო მომხმარებლისთვის.
ყველაზე დიდი პოტენციური პრობლემა შეიძლება იყოს თქვენი IMEI-ის უკანონო გამოყენება: მათ შორის, მაგრამ არ შემოიფარგლება მხოლოდ თქვენი IMEI შავ სიაში შეყვანით ან შავი ბაზრის ტელეფონზე გამოსაყენებლად IMEI-ის კლონირებით. თუ რომელიმე სცენარი მოხდა, ეს შეიძლება იყოს დიდი უხერხულობა ამ ხვრელიდან თავის ამოღება. კიდევ ერთი პოტენციური პრობლემა ეხება აპლიკაციებს, რომლებიც კვლავ იყენებენ თქვენს IMEI-ს იდენტიფიკატორად. მაგალითად, Whatsapp იყენებდა ან MD5-ჰეშირებული, შებრუნებული ვერსია თქვენი IMEI, როგორც თქვენი ანგარიშის პაროლი. ინტერნეტში დათვალიერების შემდეგ, ზოგიერთი დაჩრდილული ვებსაიტი აცხადებს, რომ შეუძლია Whatsapp-ის ანგარიშების გატეხვა ტელეფონის ნომრისა და IMEI-ის გამოყენებით, მაგრამ მე მათ ვერ ვამოწმებ.
Ისევ, მნიშვნელოვანია დაიცვათ ნებისმიერი ინფორმაცია, რომელიც ცალსახად განსაზღვრავს თქვენს ან თქვენს მოწყობილობას. თუ კონფიდენციალურობის საკითხები თქვენთვის მნიშვნელოვანია, მაშინ OnePlus-ის ეს პრაქტიკა უნდა იყოს შემაშფოთებელი. ვიმედოვნებთ, რომ ეს სტატია დაგეხმარებათ გაცნობოთ ამ პოტენციური უსაფრთხოების შედეგების შესახებ ივარჯიშეთ და ეს სიტუაცია მიიტანეთ OnePlus-ის ყურადღების ცენტრში (კიდევ ერთხელ), რათა ის გამოსწორდეს სასწრაფოდ.