Uma vulnerabilidade grave no bootloader OnePlus 6 foi descoberta. Esta exploração, que requer acesso físico, contorna todas as medidas de segurança.
Atualização 09/06/18 14h31 CT: OnePlus emitiu uma declaração sobre este tópico.
Atualização 15/06/18 10h47: OnePlus começou a ser lançado Oxigênio OS 5.1.7 com uma correção para a vulnerabilidade do bootloader.
O OnePlus 6 foi oficializado no meio do mês passado. O dispositivo só recentemente começou a chegar às mãos de consumidores e desenvolvedores em nossos fóruns, e já estamos ouvindo sobre o trabalho que está sendo feito. Um compilação oficial do TWRP já está disponível e o trabalho está progredindo muito bem em um LineageOS 15.1 GSI não oficial. O OnePlus 6 não está recebendo atenção apenas de usuários interessados no aparelho para uso pessoal ou projetos, no entanto, à medida que os pesquisadores de segurança estão começando a examinar mais de perto o dispositivo para ver o que podem encontrar.
Um desses pesquisadores, Jason Donenfeld, presidente da
Esta vulnerabilidade permite que um invasor com acesso físico e uma conexão tethered a um PC assuma o controle do dispositivo. Se a imagem de inicialização for modificada com ADB inseguro e ADB como root por padrão, então um invasor com acesso físico terá controle total sobre o dispositivo. Ao contrário do infame "porta dos fundos"(que não era realmente um backdoor) no OnePlus 5T, a exploração desta vulnerabilidade não exige que o usuário já tenha a depuração USB habilitada. Isso significa que um invasor só precisa colocar as mãos no dispositivo – e nada mais – para obter acesso total a ele se explorar essa vulnerabilidade no OnePlus 6.
O bug foi relatado a vários engenheiros do OnePlus e Jason Donenfeld confirmou que um membro da equipe de segurança reconheceu o relatório. Acompanharemos esse assunto à medida que mais informações estiverem disponíveis. Esperamos que um patch seja lançado para o bootloader rapidamente para que esse problema possa ser resolvido.
Atualização 1: Declaração OnePlus
OnePlus ofereceu uma declaração sobre o assunto:
“Levamos a segurança a sério na OnePlus. Estamos em contato com o pesquisador de segurança e uma atualização de software será lançada em breve." – porta-voz da OnePlus
Continuaremos acompanhando este tópico e iremos atualizá-lo assim que uma atualização de software estiver disponível.
Atualização 2: correção
OnePlus começou a lançar o OxygenOS 5.1.7 para o OnePlus 6 em 15 de junho com um conserto para a vulnerabilidade do bootloader.
Este artigo foi atualizado para refletir que um invasor precisa de acesso físico ao dispositivo, bem como de uma conexão vinculada a um PC para explorar a vulnerabilidade.