„OnePlus“ telefonuose, kuriuose veikia „OxygenOS“, nuteka telefono IMEI, kai telefonas tikrina, ar nėra naujinimo. Telefonas naudoja nesaugią HTTP POST užklausą.
The OnePlus One buvo vienas iš pirmųjų „Android“ išmaniųjų telefonų, kurie įrodė, kad vartotojams nereikia pakloti 600 USD ir daugiau už pavyzdinę patirtį. Kitaip tariant, net ir už mažesnę kainą turėtumėte niekada neatsiskaitys už prastesnės kokybės produktą.
Vis dar prisimenu ažiotažą, susijusį su „OnePlus One“ specifikacijų atskleidimu – bendrovė pasinaudojo „Android“ entuziastų fanatizmu, kai kalbama apie nutekėjimą. „OnePlus“ nusprendė kelias savaites iki oficialaus pristatymo lėtai atskleisti telefono specifikacijas po vieną – ir tai pavyko.
Tuo metu seilėjomės dėl to, kad telefone naudojamas „Snapdragon 801“ su 5,5 colio 1080p ekranu, taip pat labai viliojanti partnerystė su pradedančia įmone „Cyanogen Inc. (iš kurių buvo „Android“ entuziastai labai džiaugiamės dėl CyanogenMod populiarumo). Ir tada „OnePlus“ numetė didžiausią bombą mums visiems – pradinę 299 USD kainą. Tik vienas kitas telefonas mane tikrai nustebino savo ekonomiškumu – „Nexus 5“ ir
„OnePlus One“ išpūtė jį iš vandens. Prisimenu, kad daugelis „Nexus“ entuziastų blaškosi tarp „OnePlus One“ atnaujinimo ar laukimo, kol bus išleistas kitas „Nexus“.Bet tada „OnePlus“ padarė a sprendimų serija tai, nors kai kurie buvo ekonomiškai pateisinami, „Android“ entuziastams suteikė tam tikrą pagreitį prekės ženklui. Iš pradžių kilo ginčas dėl pakvietimų sistemos, vėliau – prieštaringi skelbimai ir iškrenta su cianogenu, tada bendrovė sulaukė neapykantos už OnePlus 2 paleidimas, kuris daugelio žmonių akyse nepavyko pragyventi į pavadinimą „Flagship Killer“ ir pagaliau štai raudonplaukis povaikas OnePlus X išmanųjį telefoną, kurį tik ką gavome Android Marshmallow a prieš kelias dienas.
Du žingsniai į priekį, vienas žingsnis atgal
„OnePlus“ garbei įmonė sugebėjo atgaivinti ažiotažą supančių savo gaminius su OnePlus 3. Šį kartą „OnePlus“ ne tik stengėsi išnagrinėti daugelį apžvalgininkų ir vartotojų skundų, kuriuos turėjo „OnePlus 2“, bet net ir toliau. išankstinės peržiūros skundų nagrinėjimas ir išleidžiant šaltinio kodą pritaikytų ROM kūrėjams. Dar kartą „OnePlus“ sukūrė pakankamai įtikinamą produktą, kad galėčiau persvarstyti, kol bus išleistas kitas „Nexus“ telefonas, ir keli mūsų darbuotojai jį nusipirktų (arba du) sau. Tačiau kai kurie mūsų darbuotojai yra atsargūs dėl vienos problemos – programinės įrangos. Mūsų telefonų naudojimo būdai yra labai skirtingi – kai kurie iš mūsų gyvena ant kraujuojančio slenksčio ir naudoja „flash“ pritaikytus ROM, pvz. Sultanxda neoficialus Cyanogenmod 13 „OnePlus 3“, o kiti savo įrenginyje paleidžia tik atsarginę programinę-aparatinę įrangą. Tarp mūsų darbuotojų kyla tam tikrų nesutarimų dėl neseniai išleisto vaizdo kokybės OxygenOS 3.5 bendruomenės kūrimas (kurį išnagrinėsime būsimame straipsnyje), tačiau yra viena problema, dėl kurios visi sutinkame: visiškas sumišimas dėl to, kad OnePlus naudoja HTTP, kad perduotų jūsų IMEI, kai tikrina, ar nėra programinės įrangos naujinių.
Taip, jūs perskaitėte teisingai. Jūsų IMEI, numeris unikaliai identifikuoja jūsų konkretų telefoną, yra išsiųstas nešifruotas į „OnePlus“ serverius, kai telefonas tikrina, ar yra naujinimo (su vartotojo įvestimi arba be jo). Tai reiškia, kad visi, kurie klausosi tinklo srauto jūsų tinkle (arba jums to nežinant, kai naršote mūsų forumuose, kai esate prisijungę prie viešosios viešosios interneto prieigos taško), gali paimti jūsų IMEI, jei jūsų telefonas (arba jūs) nuspręstų, kad laikas patikrinti, ar atnaujinti.
XDA portalo komandos narys ir buvęs forumo moderatorius, b1nny, problemą aptiko perimdamas jo įrenginio srautą naudojant mitmproxy ir paskelbė apie tai „OnePlus“ forumuose dar liepos 4 d. Dar šiek tiek pasigilinęs į tai, kas vyksta, kai jo „OnePlus 3“ ieškojo atnaujinimo, b1nny nustatė, kad „OnePlus“ nereikalauja galiojančio IMEI pasiūlyti vartotojui atnaujinimą. Norėdami tai įrodyti, b1nny panaudojo a „Chrome“ programa pavadinimu „Postman“. siųsti HTTP POST užklausą „OnePlus“ naujinimo serveriui ir redaguoti jo IMEI su šiukšlių duomenimis. Serveris vis tiek grąžino atnaujinimo paketą, kaip tikėtasi. b1nny padarė kitų atradimų, susijusių su OTA procesu (pavyzdžiui, kad naujinimo serveriai yra bendrinami su Oppo), tačiau labiausiai rūpėjo tai, kad šis unikalus įrenginio identifikatorius buvo perduotas HTTP.
Pataisymo kol kas nematyti
Išsiaiškinęs saugumo problemą, b1nny atliko deramą patikrinimą ir bandė susisiekti su abiem OnePlus forumo moderatoriai ir klientų aptarnavimo atstovus kurie galėtų perduoti problemą aukštyn grandinėje atitinkamoms komandoms. Moderatorius tvirtino, kad išduotas leidimas bus perduotas; tačiau jam nepavyko gauti jokio patvirtinimo, kad ši problema buvo nagrinėjama. Kai į problemą iš pradžių buvo atkreiptas Redditors dėmesys /r/Android subreddit, daugelis buvo susirūpinę, bet buvo įsitikinę, kad problema bus greitai išspręsta. XDA portale mes taip pat tikėjome, kad nesaugus HTTP POST metodas, naudojamas OTA serveriui atnaujinti, galiausiai bus ištaisytas. Iš pradžių problema buvo aptikta naudojant OxygenOS 3.2.1 OS versiją (nors ji galėjo egzistuoti ankstesnėse versijose kaip gerai), bet b1nny vakar su mumis patvirtino, kad problema vis dar išlieka naujausioje stabilioje Oxygen OS versijoje: versija 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Tačiau neseniai išleidus OxygenOS 3.5 bendruomenės versiją, mums vėl buvo įdomu sužinoti, ar problema išliko. Susisiekėme su „OnePlus“ dėl šios problemos ir bendrovės atstovas mums pasakė, kad problema iš tikrųjų buvo pataisyta. Tačiau vienas iš mūsų portalo narių paleido naujausią bendruomenės versiją ir naudojo mitmproxy, kad perimtų jo „OnePlus 3“ tinklo srautą, ir, mūsų nuostabai, sužinojome, kad „OxygenOS“ vis dar siuntė IMEI HTTP POST užklausoje į atnaujinimo serverį.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Tai, nepaisant akivaizdaus patvirtinimo, kad problema buvo išspręsta, mums XDA kelia didelį nerimą. „OnePlus“ nėra prasmės naudoti HTTP, kad išsiųstų užklausą savo serveriams, jei tik jie to nori naudoti mūsų IMEI duomenų gavybos tikslais, tada jie tikriausiai galėtų tai padaryti daug saugesniu būdu metodas.
IMEI nutekėjimai ir jūs
Nieko nėra iš esmės pavojinga, kad jūsų IMEI nuteka per viešąjį tinklą. Nors jis unikaliai identifikuoja jūsų įrenginį, yra ir kitų unikalių identifikatorių, kurie gali būti naudojami kenkėjiškai. Programos gali prašyti prieigos kad gana lengvai pamatytumėte savo įrenginio IMEI. Taigi, kokia problema? Priklausomai nuo to, kur gyvenate, vyriausybė arba įsilaužėlis, kuris, matyt, pakankamai jumis domisi, gali naudoti jūsų IMEI. Tačiau paprastam vartotojui tai tikrai nerūpi.
Didžiausia galima problema gali būti neteisėtas jūsų IMEI naudojimas: įskaitant, bet neapsiribojant, IMEI įtraukimą į juodąjį sąrašą arba IMEI klonavimą, kad jį būtų galima naudoti juodosios rinkos telefonuose. Jei įvyktų bet kuris scenarijus, išsikapstyti iš šios duobės gali kilti didžiulių nepatogumų. Kita galima problema yra susijusi su programomis, kurios vis dar naudoja jūsų IMEI kaip identifikatorių. Pavyzdžiui, „Whatsapp“ naudojo MD5 maišos, atvirkštinė versija IMEI kaip paskyros slaptažodį. Pasižvalgius internete, kai kurios šešėlinės svetainės teigia galinčios nulaužti „Whatsapp“ paskyras naudodami telefono numerį ir IMEI, bet negaliu jų patvirtinti.
Vis dėlto svarbu apsaugoti bet kokią informaciją, kuri unikaliai identifikuoja jus arba jūsų įrenginius. Jei privatumo problemos jums svarbios, tokia „OnePlus“ praktika turėtų kelti nerimą. Tikimės, kad šis straipsnis padės informuoti jus apie galimas saugumo pasekmes praktiką ir atkreipti „OnePlus“ dėmesį į šią situaciją (dar kartą), kad ją būtų galima ištaisyti nedelsiant.