Er is een ernstige kwetsbaarheid ontdekt in de OnePlus 6-bootloader. Deze exploit, die fysieke toegang vereist, omzeilt alle beveiligingsmaatregelen.
Update 9-06-2018 14:31 CT: OnePlus heeft een verklaring afgegeven over dit onderwerp.
Update 15-06-2018 10:47 uur: OnePlus is begonnen met de uitrol ZuurstofOS 5.1.7 met een oplossing voor de kwetsbaarheid van de bootloader.
De OnePlus 6 was officieel gemaakt midden vorige maand. Het apparaat is pas sinds kort in de handen van consumenten en ontwikkelaars op onze forums terechtgekomen, en we horen nu al over het werk dat wordt gedaan. Een officiële build van TWRP is al beschikbaar en de werkzaamheden vorderen mooi op een onofficiële LineageOS 15.1 GSI. De OnePlus 6 krijgt niet alleen aandacht van gebruikers die geïnteresseerd zijn in het toestel voor persoonlijk gebruik projecten, nu beveiligingsonderzoekers het apparaat nader gaan bekijken om te zien wat ze kunnen vinden.
Eén zo'n onderzoeker, Jason Donenfeld, president van Edge Security LLC, ook bekend op XDA als
zx2c4, heeft een kwetsbaarheid op het apparaat ontdekt waardoor hij elke willekeurige gewijzigde afbeelding kan opstarten omzeilt de beschermingsmaatregelen van de bootloader (zoals een vergrendelde bootloader). (Voor het misbruiken van de kwetsbaarheid is fysieke toegang tot het apparaat vereist.)Door deze kwetsbaarheid kan een aanvaller met fysieke toegang en een gekoppelde verbinding met een pc de controle over het apparaat overnemen. Als de opstartimage standaard wordt aangepast met onveilige ADB en ADB als root, dan is er sprake van een aanvaller met fysieke toegang heeft volledige controle over het apparaat. In tegenstelling tot de beruchte "achterdeur" (wat niet echt een achterdeur was) op de OnePlus 5T, vereist het misbruiken van dit beveiligingslek niet dat de gebruiker USB-foutopsporing al heeft ingeschakeld. Dat betekent dat een aanvaller het apparaat alleen maar in handen hoeft te krijgen (en niets meer) om er volledige toegang toe te krijgen als hij misbruik maakt van deze kwetsbaarheid op de OnePlus 6.
De bug is gemeld aan meerdere engineers van OnePlus en Jason Donenfeld heeft bevestigd dat een lid van het beveiligingsteam dat heeft gedaan erkende het rapport. We zullen deze kwestie opvolgen zodra er meer informatie beschikbaar komt. We hopen dat er snel een patch voor de bootloader wordt uitgebracht, zodat dit probleem kan worden opgelost.
Update 1: OnePlus-verklaring
OnePlus heeft hierover een verklaring afgelegd:
"Bij OnePlus nemen we beveiliging serieus. We hebben contact met de beveiligingsonderzoeker en binnenkort wordt er een software-update uitgerold." - OnePlus-woordvoerder
We blijven dit onderwerp volgen en zullen u op de hoogte houden zodra er een software-update beschikbaar is.
Update 2: oplossing
OnePlus is op 15 juni begonnen met het uitrollen van OxygenOS 5.1.7 voor de OnePlus 6 met een oplossing voor de kwetsbaarheid van de bootloader.
Dit artikel is bijgewerkt om aan te geven dat een aanvaller fysieke toegang tot het apparaat en een gekoppelde verbinding met een pc nodig heeft om het beveiligingslek te kunnen misbruiken.