OnePlus-telefoons met OxygenOS lekken de IMEI van uw telefoon wanneer uw telefoon controleert op een update. De telefoon gebruikt een onveilig HTTP POST-verzoek.
De Een plus een was een van de eerste Android-smartphones die bewees dat consumenten geen $ 600+ hoefden uit te geven voor een vlaggenschipervaring. Met andere woorden, zelfs tegen een lagere prijs zou u dat moeten doen nooit regelen voor het kopen van een inferieur product.
Ik kan me de hype rond de onthulling van de specificatie voor de OnePlus One nog herinneren: het bedrijf profiteerde van het fanatisme van Android-enthousiastelingen als het om lekken ging. OnePlus besloot een paar weken voorafgaand aan de officiële lancering de specificaties van de telefoon langzaam één voor één te onthullen - en het werkte.
Destijds kwijlden we over het gebruik van de Snapdragon 801 met een 5,5-inch 1080p-scherm en de zeer verleidelijke samenwerking met de jonge startup Cyanogen Inc. (waarvan Android-enthousiastelingen waren erg enthousiast over vanwege de populariteit van CyanogenMod). En toen liet OnePlus de grootste bom voor ons allemaal vallen: de startprijs van $ 299. Slechts één andere telefoon had me echt verbaasd vanwege zijn prijs-kwaliteitverhouding – de Nexus 5 – en de
OnePlus One blies het uit het water. Ik herinner me dat veel Nexus-enthousiastelingen verscheurd waren tussen het maken van een upgrade naar de OnePlus One of het wachten op de release van de volgende Nexus.Maar toen maakte OnePlus een reeks beslissingen dat, hoewel sommige economisch gerechtvaardigd waren, het momentum voor het merk onder Android-enthousiastelingen teniet deed. Eerst was er de controverse rond het uitnodigingssysteem, daarna kwamen de controversiële advertenties en ruzie met Cyanogen, Dan het bedrijf kreeg enige haat voor de OnePlus 2 release die in de ogen van veel mensen slaagde er niet in om te leven naar de bijnaam "Flagship Killer", en Eindelijk daar is het roodharige stiefkind OnePlus X smartphone die nog maar net heeft ontvangen Android-Marshmallow A paar dagen geleden.
Twee stappen vooruit, één stap terug
Het strekt OnePlus tot eer dat het bedrijf daartoe in staat was de hype nieuw leven inblazen omringt zijn producten met de OnePlus 3. Deze keer zorgde OnePlus er niet alleen voor dat veel van de grieven die recensenten en gebruikers hadden tegen de OnePlus 2 werden aangepakt, maar ging zelfs verder dan dat. het aanpakken van klachten over vroege beoordelingen En broncode vrijgeven voor aangepaste ROM-ontwikkelaars. Opnieuw heeft OnePlus een product gemaakt dat overtuigend genoeg is om mij te doen nadenken over het wachten op de release van de volgende Nexus-telefoon, en verschillende leden van ons personeel er een te laten kopen (of twee) voor zichzelf. Maar er is één probleem waar sommige van onze medewerkers op hun hoede voor zijn: de software. We zijn behoorlijk verdeeld over hoe we onze telefoons gebruiken - sommigen van ons leven op het scherpst van de snede en flashen aangepaste ROM's zoals sultanxda's onofficiële Cyanogenmod 13 voor de OnePlus 3, terwijl anderen alleen de standaardfirmware op hun apparaat uitvoeren. Onder onze medewerkers bestaat er enige onenigheid over de kwaliteit van de onlangs uitgebrachte producten OxygenOS 3.5 community-build (die we in een toekomstig artikel zullen onderzoeken), maar er is één kwestie waar we het allemaal over eens zijn: totale verbijstering over het feit dat OnePlus gebruikt HTTP om uw IMEI te verzenden terwijl wordt gecontroleerd op software-updates.
Ja, dat lees je goed. Uw IMEI, het nummer dat identificeert op unieke wijze uw specifieke telefoon, is verstuurd niet-versleuteld naar de servers van OnePlus wanneer uw telefoon controleert op een update (met of zonder gebruikersinvoer). Dit betekent dat iedereen die meeluistert met het netwerkverkeer in uw netwerk (of zonder dat u het weet, terwijl u door onze forums terwijl u verbonden bent met een openbare hotspot) kunnen uw IMEI ophalen als uw telefoon (of u) besluit dat het tijd is om te controleren op een update.
XDA Portal Teamlid en voormalig forummoderator, b1nny, ontdekte het probleem door het verkeer van zijn apparaat onderscheppen gebruik makend van mitmproxy en erover gepost op de OnePlus-forums terug op 4 juli. Na wat verder onderzoek te hebben gedaan naar wat er aan de hand was toen zijn OnePlus 3 aan het controleren was op een update, ontdekte b1nny dat OnePlus vereist geen geldige IMEI om de gebruiker een update aan te bieden. Om dit te bewijzen gebruikte b1nny a Chrome-app genaamd Postman om een HTTP POST-verzoek naar de updateserver van OnePlus te sturen en zijn IMEI te bewerken met afvalgegevens. De server heeft het updatepakket nog steeds geretourneerd zoals verwacht. b1nny heeft andere ontdekkingen gedaan met betrekking tot het OTA-proces (zoals het feit dat de updateservers worden gedeeld met Oppo), maar het meest verontrustende was het feit dat deze unieke apparaat-ID werd verzonden HTTP.
Nog geen oplossing in zicht
Nadat hij het beveiligingsprobleem had ontdekt, deed b1nny zijn due diligence en probeerde contact op te nemen met beide OnePlus-forummoderators En Klantenservice Vertegenwoordigers die de kwestie wellicht hogerop in de keten kan doorsturen naar de relevante teams. Wel beweerde een moderator dat het uitgegeven zou worden doorgegeven; hij kon echter geen enkele bevestiging ontvangen dat de kwestie werd onderzocht. Toen het probleem voor het eerst onder de aandacht van Redditors werd gebracht op de /r/Android-subreddit, waren velen bezorgd, maar hadden er vertrouwen in dat het probleem snel zou worden opgelost. Bij de XDA Portal geloofden ook wij dat de onveilige HTTP POST-methode die werd gebruikt voor het pingen naar de OTA-server voor een update uiteindelijk zou worden opgelost. De eerste ontdekking van het probleem vond plaats in OxygenOS versie 3.2.1 van het besturingssysteem (hoewel het in eerdere versies ook had kunnen bestaan). goed), maar b1nny heeft gisteren bij ons bevestigd dat het probleem zich nog steeds voordoet in de nieuwste stabiele versie van Oxygen OS: versie 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Met de recente release van de OxygenOS 3.5-communitybuild waren we echter opnieuw benieuwd of het probleem zich bleef voordoen. We hebben contact opgenomen met OnePlus over dit probleem en kregen van een woordvoerder van het bedrijf te horen dat het probleem inderdaad was verholpen. We lieten echter een van onze portalleden de nieuwste community-build flashen en mitmproxy gebruiken om het netwerkverkeer van zijn OnePlus 3 te onderscheppen, en tot onze verbazing ontdekten we dat OxygenOS stuurde nog steeds een IMEI in het HTTP POST-verzoek naar de updateserver.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Dit, ondanks de duidelijke bevestiging dat het probleem is opgelost, baart ons grote zorgen bij XDA. Het heeft geen zin dat OnePlus HTTP gebruikt om een verzoek naar zijn servers te sturen, als ze dat willen Als u onze IMEI gebruikt voor dataminingdoeleinden, dan zouden ze dit waarschijnlijk op een veel veiligere manier kunnen doen methode.
IMEI-lekken en jij
Er is niets substantieel gevaarlijk als uw IMEI lekt via een openbaar netwerk. Hoewel het uw apparaat uniek identificeert, zijn er andere unieke identificatiegegevens die kwaadwillig kunnen worden gebruikt. Applicaties kunnen toegang vragen om de IMEI van uw apparaat vrij gemakkelijk te zien. Dus wat is het probleem? Afhankelijk van waar u woont, kan uw IMEI worden gebruikt om u te volgen door de overheid of door een hacker die blijkbaar voldoende in u geïnteresseerd is. Maar dat zijn niet echt zorgen voor de gemiddelde gebruiker.
Het grootste potentiële probleem kan het illegale gebruik van uw IMEI zijn: inclusief maar niet beperkt tot het op de zwarte lijst zetten van uw IMEI of het klonen van de IMEI voor gebruik op een telefoon op de zwarte markt. Als een van beide scenario's zich zou voordoen, zou het een enorm ongemak kunnen zijn om jezelf uit dit gat te graven. Een ander potentieel probleem betreft applicaties die nog steeds uw IMEI als identificatiemiddel gebruiken. Whatsapp gebruikte bijvoorbeeld vroeger een MD5-gehashte, omgekeerde versie van uw IMEI als het wachtwoord van uw account. Na online rondgekeken te hebben, beweren sommige duistere websites dat ze Whatsapp-accounts kunnen hacken met behulp van een telefoonnummer en IMEI, maar ik kan ze niet verifiëren.
Nog steeds, het is belangrijk om alle informatie te beschermen die u of uw apparaten op unieke wijze identificeert. Als privacykwesties belangrijk voor u zijn, dan zou deze praktijk van OnePlus zorgwekkend moeten zijn. We hopen dat dit artikel dient om u te informeren over de mogelijke veiligheidsimplicaties hierachter praktijk, en om deze situatie (nogmaals) onder de aandacht van OnePlus te brengen, zodat deze kan worden opgelost snel.