OxygenOS를 실행하는 OnePlus 휴대폰은 휴대폰이 업데이트를 확인할 때마다 휴대폰의 IMEI를 유출합니다. 전화기가 안전하지 않은 HTTP POST 요청을 사용합니다.
그만큼 하나 더 소비자가 플래그십 경험을 위해 600달러 이상을 지불할 필요가 없음을 입증한 최초의 Android 스마트폰 중 하나였습니다. 즉, 더 낮은 가격대에서도 결코 정착하지 않는다 열등한 제품을 구입하기 위해.
저는 OnePlus One의 사양 공개를 둘러싼 과대광고를 아직도 기억합니다. 이 회사는 유출에 관해 안드로이드 매니아들이 보여준 광신을 이용했습니다. OnePlus는 공식 출시에 앞서 몇 주 동안 휴대폰의 사양을 하나씩 천천히 공개하기로 결정했고 성공했습니다.
당시 우리는 5.5인치 1080p 디스플레이를 갖춘 Snapdragon 801의 휴대폰 사용과 신생 스타트업인 Cyanogen Inc.와의 매우 매력적인 파트너십에 침을 흘렸습니다. (그 중 Android 매니아는 매우 CyanogenMod의 인기로 인해 매우 기대됩니다). 그리고 OnePlus는 우리 모두에게 가장 큰 폭탄인 299달러의 시작 가격을 떨어뜨렸습니다. 가성비 측면에서 나를 정말 놀라게 한 휴대폰은 넥서스 5(Nexus 5)뿐이었다. OnePlus One이 물 밖으로 날려 버렸습니다.. 저는 많은 Nexus 매니아들이 OnePlus One으로 업그레이드할지 아니면 다음 Nexus 출시를 기다리는지 사이에서 고민했던 것을 기억합니다.
그런데 OnePlus가 일련의 결정 일부는 경제적으로 타당했지만 Android 열성팬 사이에서 브랜드의 추진력을 어느 정도 죽였습니다. 먼저 초대 시스템 논란에 이어 논란이 된 광고와 시아노젠과 함께 빠지다, 그 다음에 회사는 그 사람 때문에 약간의 미움을 받았어요. 원플러스 2 많은 사람들의 눈에 보이는 출시 살아나지 못했다 "플래그십 킬러(Flagship Killer)"라는 이름으로 마지막으로 저기 빨간 머리 의붓자식이 있어요 원플러스 X 방금 받은 스마트폰 안드로이드 마시멜로 ㅏ 몇일 전에.
두 걸음 앞으로, 한 걸음 뒤로
OnePlus의 신용으로 회사는 다음을 수행할 수 있었습니다. 과대광고를 다시 불러일으키다 자사 제품을 둘러싼 원플러스 3. 이번에 OnePlus는 OnePlus 2에 대해 리뷰어와 사용자가 겪었던 많은 불만 사항을 해결했을 뿐만 아니라 그 이상을 수행했습니다. 조기 검토 불만사항 처리 그리고 소스코드 공개 맞춤형 ROM 개발자를 위한 것입니다. 다시 한번 OnePlus는 제가 다음 Nexus 휴대폰 출시를 기다리며 다시 생각하게 만들고 여러 직원이 구매하게 할 정도로 매력적인 제품을 만들었습니다.아니면 둘) 스스로를 위해. 그러나 우리 직원 중 일부가 경계하는 한 가지 문제가 있습니다. 바로 소프트웨어입니다. 우리는 휴대폰을 사용하는 방법에 대해 꽤 의견이 분분합니다. 우리 중 일부는 최첨단 기술을 사용하며 다음과 같은 플래시 맞춤형 ROM을 사용합니다. sultanxda의 비공식 Cyanogenmod 13 OnePlus 3의 경우 다른 사용자는 해당 장치에서만 기본 펌웨어를 실행합니다. 최근 출시된 앨범의 품질에 대해 직원들 간에 의견이 분분합니다. OxygenOS 3.5 커뮤니티 빌드 (향후 기사에서 살펴보겠습니다) 하지만 우리 모두가 동의하는 한 가지 문제가 있습니다. 바로 OnePlus가 소프트웨어 업데이트를 확인하는 동안 HTTP를 사용하여 IMEI를 전송합니다.
예, 당신이 읽은 것이 맞습니다. 귀하의 IMEI, 해당 번호 특정 전화를 고유하게 식별합니다., 보냈다 암호화되지 않은 휴대폰에서 업데이트를 확인할 때(사용자 입력 유무에 관계없이) OnePlus 서버로 전송됩니다. 이는 귀하의 네트워크에서 네트워크 트래픽을 듣고 있는 모든 사람이 (또는 귀하가 우리를 검색하는 동안 귀하에게 알려지지 않은) 것을 의미합니다. 공개 핫스팟에 연결된 동안 포럼) 귀하의 휴대전화(또는 귀하)가 IMEI를 확인할 시간이라고 결정하면 IMEI를 가져올 수 있습니다. 업데이트.
XDA 포털 팀 멤버이자 전 포럼 중재자, b1nny, 다음에 의해 문제를 발견했습니다. 기기의 트래픽을 가로채는 중 사용하여 미트프록시 OnePlus 포럼에 이에 대해 게시했습니다. 7월 4일에 다시. b1nny는 OnePlus 3가 업데이트를 확인할 때 무슨 일이 일어나고 있는지 좀 더 자세히 조사한 후 OnePlus가 유효한 IMEI가 필요하지 않습니다 사용자에게 업데이트를 제공합니다. 이를 증명하기 위해 b1nny는 다음을 사용했습니다. Postman이라는 Chrome 앱 OnePlus의 업데이트 서버에 HTTP POST 요청을 보내고 가비지 데이터로 IMEI를 편집했습니다. 서버 여전히 예상대로 업데이트 패키지를 반환했습니다.. b1nny는 OTA 프로세스와 관련하여 다른 발견을 했습니다(예: 업데이트 서버가 다음과 공유된다는 사실). Oppo), 하지만 가장 우려스러운 부분은 이 고유한 장치 식별자가 다른 장치를 통해 전송된다는 사실이었습니다. HTTP.
아직 수정 사항이 보이지 않음
보안 문제를 발견한 후 b1nny는 실사를 수행하고 두 사람 모두에게 연락을 시도했습니다. OnePlus 포럼 중재자 그리고 고객 서비스 담당자 문제를 관련 팀에 전달할 수 있는 사람. 중재자는 발행된 내용이 전달될 것이라고 주장했습니다. 그러나 그는 문제가 조사되고 있다는 확인을 받을 수 없었습니다. 이 문제가 처음 /r/Android 하위 레딧에서 Reddit 사용자의 관심을 끌었을 때 많은 사람들이 우려했지만 문제가 신속하게 해결될 것이라고 확신했습니다. XDA 포털에서도 업데이트를 위해 OTA 서버에 핑을 보내는 데 사용되는 안전하지 않은 HTTP POST 방법이 결국에는 수정될 것이라고 믿었습니다. 이 문제의 초기 발견은 OS의 OxygenOS 버전 3.2.1에서 발생했습니다(이전 버전에서는 다음과 같이 존재할 수도 있음). 글쎄), 하지만 b1nny는 어제 Oxygen OS의 최신 안정 버전에서 문제가 여전히 지속된다는 사실을 확인했습니다. 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
그러나 최근 OxygenOS 3.5 커뮤니티 빌드가 출시되면서 문제가 지속되는지 다시 한 번 궁금해졌습니다. 우리는 이 문제에 대해 OnePlus에 연락했고 회사 대변인으로부터 문제가 실제로 패치되었다는 말을 들었습니다. 그러나 포털 회원 중 한 명이 최신 커뮤니티 빌드를 플래시하고 mitmproxy를 사용하여 OnePlus 3의 네트워크 트래픽을 가로채도록 했으며 놀랍게도 다음과 같은 사실을 발견했습니다. OxygenOS는 여전히 HTTP POST 요청에서 IMEI를 업데이트 서버로 보내고 있었습니다..
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
이는 문제가 해결되었다는 명백한 확인에도 불구하고 XDA에서 우리를 크게 걱정하게 합니다. OnePlus가 원하는 경우 HTTP를 사용하여 서버에 요청을 보내는 것은 의미가 없습니다. 데이터 마이닝 목적으로 IMEI를 사용한다면 훨씬 더 안전한 환경에서 그렇게 할 수 있을 것입니다. 방법.
IMEI 유출과 당신
아무것도 없어요 대체로 공용 네트워크를 통해 IMEI가 유출되면 위험합니다. 이는 귀하의 장치를 고유하게 식별하지만 악의적으로 사용될 수 있는 다른 고유 식별자도 있습니다. 애플리케이션이 액세스를 요청할 수 있음 장치의 IMEI를 아주 쉽게 볼 수 있습니다. 그렇다면 문제는 무엇입니까? 귀하가 거주하는 지역에 따라 귀하의 IMEI는 정부나 귀하에게 충분히 관심이 있는 해커가 귀하를 추적하는 데 사용될 수 있습니다. 그러나 일반 사용자에게는 이러한 문제가 실제로 걱정되지 않습니다.
가장 큰 잠재적인 문제는 IMEI를 불법적으로 사용하는 것일 수 있습니다. 여기에는 IMEI를 블랙리스트에 추가하거나 암시장 전화에서 사용하기 위해 IMEI를 복제하는 것이 포함되지만 이에 국한되지는 않습니다. 두 시나리오 중 하나라도 발생하면 이 구멍에서 빠져나오는 것이 엄청난 불편을 초래할 수 있습니다. 또 다른 잠재적인 문제는 여전히 IMEI를 식별자로 사용하는 애플리케이션과 관련된 것입니다. 예를 들어 Whatsapp은 MD5 해시, 역버전 IMEI를 계정 비밀번호로 사용하세요. 온라인을 둘러본 결과 일부 수상한 웹사이트에서는 전화번호와 IMEI를 사용하여 Whatsapp 계정을 해킹할 수 있다고 주장하지만 확인할 수 없습니다.
아직, 귀하 또는 귀하의 장치를 고유하게 식별하는 모든 정보를 보호하는 것이 중요합니다. 개인 정보 보호 문제가 중요한 경우 OnePlus의 이러한 관행이 중요합니다. 이 문서가 이 문제 뒤에 숨어 있는 잠재적인 보안 영향에 대해 알리는 데 도움이 되기를 바랍니다. 연습하고 이 상황을 OnePlus에 (한 번 더) 알려서 문제가 해결될 수 있도록 합니다. 즉시.