A fost descoperită o vulnerabilitate gravă în bootloader-ul OnePlus 6. Acest exploit, care necesită acces fizic, ocolește toate măsurile de securitate.
Actualizare 09.06.18 14:31 CT: OnePlus a emis o declarație cu privire la acest subiect.
Actualizare 6/15/18 10:47AM: OnePlus a început să se lanseze OxygenOS 5.1.7 cu o remediere pentru vulnerabilitatea bootloader-ului.
OnePlus 6 a fost oficializat la mijlocul lunii trecute. Dispozitivul a început abia recent să-și facă loc în mâinile consumatorilor și dezvoltatorilor pe forumurile noastre și deja auzim despre munca care se face. Un versiunea oficială a TWRP este deja disponibilă și lucrările progresează frumos pe un LineageOS 15.1 GSI neoficial. OnePlus 6 nu primește doar atenția utilizatorilor interesați de dispozitiv pentru uzul lor personal sau proiecte, cu toate acestea, deoarece cercetătorii de securitate încep să se uite mai atent la dispozitiv pentru a vedea ce pot găsi.
Un astfel de cercetător, Jason Donenfeld, președinte al Edge Security LLC
Această vulnerabilitate permite unui atacator cu acces fizic și o conexiune legată la un computer să preia controlul asupra dispozitivului. Dacă imaginea de pornire este modificată cu ADB nesigur și ADB ca root în mod implicit, atunci un atacator cu acces fizic va avea control total asupra dispozitivului. Spre deosebire de infamul"ușa din spate„(care nu era cu adevărat o ușă în spate) pe OnePlus 5T, exploatarea acestei vulnerabilități nu necesită ca utilizatorul să aibă deja activată Depanarea USB. Asta înseamnă că un atacator trebuie doar să pună mâna pe dispozitiv – și nimic mai mult – pentru a obține acces deplin la acesta dacă exploatează această vulnerabilitate pe OnePlus 6.
Bug-ul a fost raportat mai multor ingineri ai OnePlus, iar Jason Donenfeld a confirmat că un membru al echipei de securitate a făcut-o a recunoscut raportul. Vom urmări această problemă pe măsură ce vor fi disponibile mai multe informații. Sperăm că va fi lansat rapid un patch pentru bootloader, astfel încât această problemă să poată fi rezolvată.
Actualizare 1: Declarație OnePlus
OnePlus a oferit o declarație în acest sens:
„Luăm în serios securitatea la OnePlus. Suntem în contact cu cercetătorul de securitate și o actualizare de software va fi lansată în curând.” - Purtătorul de cuvânt al OnePlus
Vom continua să urmărim acest subiect și vă vom actualiza odată ce o actualizare software este disponibilă.
Actualizare 2: Remediere
OnePlus a început să lanseze OxygenOS 5.1.7 pentru OnePlus 6 pe 15 iunie cu un fix pentru vulnerabilitatea bootloader-ului.
Acest articol a fost actualizat pentru a reflecta faptul că un atacator are nevoie de acces fizic la dispozitiv, precum și de o conexiune legată la un computer pentru a exploata vulnerabilitatea.