Aptiktas rimtas „OnePlus 6“ įkrovos įkrovos pažeidžiamumas. Šis išnaudojimas, kuriam reikalinga fizinė prieiga, apeina visas saugumo priemones.
Atnaujinta 6/9/18 14:31 CT: „OnePlus“ paskelbė pareiškimą šia tema.
Atnaujinta 2018-06-15 10:47: „OnePlus“ pradėjo veikti OxygenOS 5.1.7 su įkrovos įkrovos pažeidžiamumo pataisymu.
„OnePlus 6“ buvo tapo oficialiu praėjusio mėnesio viduryje. Įrenginys tik neseniai pradėjo patekti į vartotojų ir kūrėjų rankas mūsų forumuose ir jau girdime apie atliekamą darbą. An Oficiali TWRP versija jau yra ir darbai vyksta puikiai veikia neoficialioje LineageOS 15.1 GSI. „OnePlus 6“ sulaukia dėmesio ne tik iš vartotojų, kurie domisi įrenginiu asmeniniam naudojimui ar Tačiau saugumo tyrėjai pradeda atidžiau nagrinėti įrenginį, kad pamatytų, ką gali rasti.
Vienas iš tokių tyrinėtojų, Jasonas Donenfeldas, prezidentas „Edge Security LLC“., taip pat žinomas XDA kaip zx2c4, aptiko įrenginio pažeidžiamumą, leidžiantį paleisti bet kokį savavališkai pakeistą vaizdą, kuris apeina įkrovos tvarkyklės apsaugos priemones
(pvz., užrakinta įkrovos programa). (Norint išnaudoti pažeidžiamumą, reikalinga fizinė prieiga prie įrenginio.)Šis pažeidžiamumas leidžia užpuolikui, turinčiam fizinę prieigą ir susietą ryšį su kompiuteriu, perimti įrenginio valdymą. Jei įkrovos vaizdas modifikuotas naudojant nesaugų ADB ir ADB kaip root pagal numatytuosius nustatymus, tai užpuolikas, turintis fizinę prieigą galės visiškai valdyti įrenginį. Skirtingai nuo liūdnai pagarsėjusio "galinės durys“ (kuris iš tikrųjų nebuvo užpakalinės durys) „OnePlus 5T“, norint išnaudoti šį pažeidžiamumą, vartotojas nebūtinai turi jau įjungti USB derinimo funkciją. Tai reiškia, kad užpuolikui tereikia įsisavinti įrenginį ir nieko daugiau, kad gautų visišką prieigą prie jo, jei pasinaudos šiuo „OnePlus 6“ pažeidžiamumu.
Apie klaidą buvo pranešta keliems „OnePlus“ inžinieriams, o Jasonas Donenfeldas patvirtino, kad saugos komandos narys pranešimą pripažino. Stebėsime šį klausimą, kai bus gauta daugiau informacijos. Tikimės, kad įkrovos įkroviklio pataisa bus greitai išleista, kad ši problema būtų išspręsta.
1 atnaujinimas: „OnePlus“ pareiškimas
„OnePlus“ pateikė pareiškimą šiuo klausimu:
„OnePlus rimtai žiūrime į saugumą. Susisiekiame su saugumo tyrėju ir netrukus bus pristatytas programinės įrangos naujinimas.“ – „OnePlus“ atstovas spaudai
Mes ir toliau stebėsime šią temą ir atnaujinsime jus, kai tik bus pasiekiamas programinės įrangos naujinys.
2 naujinimas: pataisykite
„OnePlus“ pradėjo diegti „OxygenOS 5.1.7“, skirtą „OnePlus 6“, birželio 15 d. pataisymas dėl įkrovos įkrovos pažeidžiamumo.
Šis straipsnis buvo atnaujintas siekiant atspindėti, kad užpuolikui reikia fizinės prieigos prie įrenginio ir susieto ryšio su kompiuteriu, kad galėtų pasinaudoti pažeidžiamumu.