OnePlus 6 부트로더에서 심각한 취약점이 발견되었습니다. 물리적 접근이 필요한 이 공격은 모든 보안 조치를 우회합니다.
업데이트 날짜: 2018년 6월 9일 오후 2시 31분(중부 표준시): OnePlus는 이 주제에 관한 성명을 발표했습니다.
업데이트 날짜: 2018년 6월 15일 오전 10시 47분: OnePlus가 출시되기 시작했습니다. 산소 OS 5.1.7 부트로더 취약점을 수정했습니다.
원플러스 6는 공식화되다 지난달 중순. 이 장치는 최근에야 우리 포럼에서 소비자와 개발자의 손에 들어가기 시작했으며 이미 진행 중인 작업에 대해 듣고 있습니다. 안 TWRP의 공식 빌드 이미 사용 가능하며 작업이 진행 중입니다. 비공식 LineageOS 15.1 GSI에서 훌륭하게 작동합니다.. OnePlus 6는 개인적인 용도로 기기에 관심이 있는 사용자들에게만 관심을 받는 것이 아닙니다. 그러나 보안 연구원들이 장치를 자세히 살펴보고 무엇을 할 수 있는지 알아보기 시작했습니다. 찾다.
그러한 연구원 중 한 명인 Jason Donenfeld 회장은 엣지 시큐리티 LLC, XDA에서는 다음과 같이 알려져 있음 zx2c4은(는) 임의로 수정된 이미지를 부팅할 수 있는 기기의 취약점을 발견했습니다. 부트로더 보호 조치를 우회합니다. (잠긴 부트로더 등) (취약점을 악용하려면 장치에 대한 물리적 접근이 필요합니다.)
이 취약점으로 인해 물리적 접근 권한과 PC에 대한 테더링 연결이 있는 공격자가 장치를 제어할 수 있습니다. 기본적으로 안전하지 않은 ADB 및 ADB를 루트로 사용하여 부팅 이미지를 수정하면 공격자가 물리적 접근 권한을 갖게 됩니다. 장치를 완전히 제어할 수 있습니다.. 악명 높은 "뒷문"(실제로는 백도어가 아님)가 OnePlus 5T에서 발생하므로 이 취약점을 악용하기 위해 사용자가 USB 디버깅을 이미 활성화할 필요는 없습니다. 즉, 공격자가 OnePlus 6에서 이 취약점을 악용하는 경우 장치에 손을 대기만 하면 전체 액세스 권한을 얻을 수 있습니다.
이 버그는 OnePlus의 여러 엔지니어에게 보고되었으며 Jason Donenfeld는 보안 팀 구성원이 이를 확인했습니다.
보고서를 인정했다. 더 많은 정보가 나오면 이 문제에 대해 후속 조치를 취할 것입니다. 이 문제가 해결될 수 있도록 부트로더에 대한 패치가 빨리 출시되기를 바랍니다.업데이트 1: OnePlus 정책
OnePlus는 이 문제에 대해 다음과 같은 성명을 발표했습니다.
"우리는 OnePlus에서 보안을 중요하게 생각합니다. 보안 연구원과 연락 중이며 소프트웨어 업데이트가 곧 출시될 예정입니다." - OnePlus 대변인
우리는 계속해서 이 주제를 다룰 것이며 소프트웨어 업데이트가 제공되면 업데이트해 드리겠습니다.
업데이트 2: 수정
OnePlus는 6월 15일에 OnePlus 6용 OxygenOS 5.1.7을 출시하기 시작했습니다. 수정 부트로더 취약점에 대해.
이 문서는 공격자가 이 취약점을 악용하려면 장치에 대한 물리적 액세스는 물론 PC에 대한 테더링 연결도 필요하다는 점을 반영하여 업데이트되었습니다.