En alvorlig sårbarhet i OnePlus 6 bootloader har blitt oppdaget. Denne utnyttelsen, som krever fysisk tilgang, omgår alle sikkerhetstiltak.
Oppdatering 6/9/18 14:31 CT: OnePlus har gitt ut en uttalelse angående dette emnet.
Oppdatering 15.06.18 10:47: OnePlus har begynt å rulle ut OxygenOS 5.1.7 med en løsning for sikkerhetsproblemet med oppstartslaster.
OnePlus 6 var gjort offisielt i midten av forrige måned. Enheten har først nylig begynt å komme i hendene til forbrukere og utviklere på forumene våre, og vi hører allerede om arbeidet som blir gjort. An offisiell konstruksjon av TWRP er allerede tilgjengelig og arbeidet pågår pent på en uoffisiell LineageOS 15.1 GSI. OnePlus 6 får ikke bare oppmerksomhet fra brukere som er interessert i enheten for personlig bruk eller prosjekter, men sikkerhetsforskere begynner å se nærmere på enheten for å se hva de kan finne.
En slik forsker, Jason Donenfeld, president for Edge Security LLC, også kjent på XDA som zx2c4, har oppdaget en sårbarhet på enheten som lar ham starte opp et hvilket som helst vilkårlig modifisert bilde som
omgår beskyttelsestiltak for bootloader (som en låst bootloader). (Utnyttelse av sårbarheten krever fysisk tilgang til enheten.)Dette sikkerhetsproblemet lar en angriper med fysisk tilgang og en tilkoblet tilkobling til en PC ta kontroll over enheten. Hvis oppstartsbildet er modifisert med usikker ADB og ADB som root som standard, er en angriper med fysisk tilgang vil ha total kontroll over enheten. I motsetning til den beryktede "bakdør" (som egentlig ikke var en bakdør) på OnePlus 5T, å utnytte dette sikkerhetsproblemet krever ikke at brukeren har USB-feilsøking allerede aktivert. Det betyr at en angriper bare trenger å få tak i enheten – og ikke noe mer – for å få full tilgang til den hvis de utnytter denne sårbarheten på OnePlus 6.
Feilen ble rapportert til flere ingeniører av OnePlus og Jason Donenfeld har bekreftet at et medlem av sikkerhetsteamet har bekreftet rapporten. Vi vil følge opp denne saken etter hvert som mer informasjon blir tilgjengelig. Vi håper en oppdatering for oppstartslasteren raskt blir utgitt slik at dette problemet kan løses.
Oppdatering 1: OnePlus-erklæring
OnePlus har gitt en uttalelse om saken:
«Vi tar sikkerhet på alvor hos OnePlus. Vi er i kontakt med sikkerhetsforskeren, og en programvareoppdatering vil snart rulles ut." - OnePlus-talsperson
Vi vil fortsette å følge dette emnet og vil oppdatere deg når en programvareoppdatering er tilgjengelig.
Oppdatering 2: Fix
OnePlus har begynt å rulle ut OxygenOS 5.1.7 for OnePlus 6 15. juni med en løsning for oppstartslasterens sårbarhet.
Denne artikkelen ble oppdatert for å gjenspeile at en angriper trenger fysisk tilgang til enheten samt en tilkoblet tilkobling til en PC for å utnytte sårbarheten.