Odkryto poważną lukę w bootloaderze OnePlus 6. Ten exploit, który wymaga fizycznego dostępu, omija wszelkie środki bezpieczeństwa.
Aktualizacja 09.06.18 14:31 czasu polskiego: OnePlus wydał oświadczenie w tej sprawie.
Aktualizacja 15.06.18 10:47: OnePlus zaczął się wdrażać OxygenOS 5.1.7 z poprawką dotyczącą luki w bootloaderze.
OnePlus 6 był stało się oficjalne w połowie ubiegłego miesiąca. Urządzenie dopiero niedawno zaczęło trafiać w ręce konsumentów i programistów na naszych forach, a już słyszymy o pracy, która jest w nim wykonywana. Jakiś oficjalna wersja TWRP jest już dostępny i prace postępują ładnie na nieoficjalnym LineageOS 15.1 GSI. OnePlus 6 przyciąga uwagę nie tylko użytkowników zainteresowanych urządzeniem do użytku osobistego projektów, ponieważ badacze bezpieczeństwa zaczynają bliżej przyglądać się urządzeniu, aby zobaczyć, co mogą znajdować.
Jeden z takich badaczy, Jason Donenfeld, prezes Firma Edge Security spółka z ograniczoną odpowiedzialnością, znany również na XDA jako
zx2c4, odkrył lukę w urządzeniu, która pozwala mu uruchomić dowolny zmodyfikowany obraz omija środki ochrony bootloadera (takie jak zablokowany bootloader). (Wykorzystanie luki wymaga fizycznego dostępu do urządzenia.)Dzięki tej luce osoba atakująca posiadająca fizyczny dostęp i połączenie z komputerem PC może przejąć kontrolę nad urządzeniem. Jeśli obraz rozruchowy zostanie domyślnie zmodyfikowany przy użyciu niezabezpieczonego ADB i ADB jako root, atakujący z fizycznym dostępem będzie miał całkowitą kontrolę nad urządzeniem. W przeciwieństwie do niesławnego „tylne drzwi" (co tak naprawdę nie było backdoorem) w OnePlus 5T, wykorzystanie tej luki nie wymaga od użytkownika włączonego debugowania USB. Oznacza to, że atakujący musi jedynie dostać się w swoje ręce – i nic więcej – aby uzyskać do niego pełny dostęp, jeśli wykorzysta tę lukę w OnePlus 6.
Błąd został zgłoszony wielu inżynierom OnePlus, a Jason Donenfeld potwierdził, że zrobił to członek zespołu ds. bezpieczeństwa potwierdził raport. Będziemy monitorować tę sprawę, gdy pojawi się więcej informacji. Mamy nadzieję, że szybko zostanie wydana łatka dla programu ładującego, która rozwiąże ten problem.
Aktualizacja 1: Oświadczenie OnePlus
OnePlus wydał oświadczenie w tej sprawie:
„W OnePlus poważnie podchodzimy do bezpieczeństwa. Jesteśmy w kontakcie z badaczem bezpieczeństwa i wkrótce udostępnimy aktualizację oprogramowania.” – Rzecznik OnePlus
Będziemy nadal śledzić ten temat i poinformujemy Cię, gdy dostępna będzie aktualizacja oprogramowania.
Aktualizacja 2: Napraw
OnePlus rozpoczął wdrażanie OxygenOS 5.1.7 dla OnePlus 6 15 czerwca z naprawa ze względu na lukę w bootloaderze.
Ten artykuł zaktualizowano, aby odzwierciedlić fakt, że aby wykorzystać tę lukę, osoba atakująca potrzebuje fizycznego dostępu do urządzenia, a także połączenia z komputerem na uwięzi.