Telefoanele OnePlus care rulează OxygenOS scurg IMEI-ul telefonului dvs. de fiecare dată când telefonul dvs. verifică o actualizare. Telefonul folosește o solicitare HTTP POST nesigură.
The Unu plus unu a fost unul dintre primele smartphone-uri Android care a demonstrat că consumatorii nu trebuie să plătească peste 600 USD pentru o experiență emblematică. Cu alte cuvinte, chiar și la un preț mai mic ar trebui nu te acomoda niciodată pentru achiziționarea unui produs inferior.
Îmi amintesc încă hype-ul din jurul dezvăluirii specificațiilor pentru OnePlus One - compania a valorificat fanatismul afișat de pasionații de Android când a fost vorba de scurgeri. OnePlus a decis să dezvăluie încet specificațiile telefonului unul câte unul timp de câteva săptămâni înainte de lansarea oficială - și a funcționat.
La acea vreme, am salivat prin utilizarea telefonului Snapdragon 801 cu un ecran de 5,5" 1080p, precum și prin parteneriatul foarte ispititor cu startup-ul încipient Cyanogen Inc. (dintre care au fost pasionați de Android
Dar apoi OnePlus a făcut un serie de decizii asta, deși unele erau justificabile din punct de vedere economic, a ucis un anumit impuls pentru brand printre entuziaștii Android. Mai întâi a fost controversa în jurul sistemului de invitare, apoi au venit reclamele controversate și căzând cu Cyanogen, apoi compania a primit ceva ură pentru OnePlus 2 eliberare care în ochii multor oameni nu a reușit să trăiască la înălțime la numele său „Flagship Killer” și in cele din urma acolo este copilul vitreg roșcat OnePlus X smartphone care tocmai a primit Android Marshmallow A acum cateva zile.
Doi pași înainte, un pas înapoi
Spre creditul OnePlus, compania a putut reaprinde hype-ul înconjurând produsele sale cu OnePlus 3. De data aceasta, OnePlus nu numai că s-a asigurat că a abordat multe dintre nemulțumirile pe care recenzenții și utilizatorii le-au avut față de OnePlus 2, dar a mers chiar și mai mult în abordarea plângerilor de revizuire timpurie și eliberarea codului sursă pentru dezvoltatorii de ROM personalizate. Încă o dată, OnePlus a creat un produs suficient de convingător încât să mă reconsidere să aștept lansarea următorului telefon Nexus și să-i pun pe mai mulți membri ai personalului nostru să cumpere unul (sau două) pentru ei. Dar există o problemă la care unii dintre angajații noștri sunt precauți - software-ul. Suntem destul de împărțiți în ceea ce privește modul în care ne folosim telefoanele - unii dintre noi trăiesc pe marginea actuală și flash ROM-uri personalizate cum ar fi Cyanogenmod 13 neoficial al sultanxda pentru OnePlus 3, în timp ce alții rulează doar firmware-ul stoc pe dispozitivul lor. În rândul personalului nostru, există unele dezacorduri cu privire la calitatea recent lansatului Construirea comunității OxygenOS 3.5 (pe care îl vom explora într-un articol viitor), dar există o problemă asupra căreia suntem cu toții de acord: nedumerire totală față de faptul că OnePlus folosește HTTP pentru a vă transmite IMEI în timp ce verifică actualizările software.
Da, ai citit bine. IMEI-ul tău, numărul care identifică în mod unic telefonul dvs, este trimis necriptat la serverele OnePlus atunci când telefonul dvs. verifică o actualizare (cu sau fără intrarea utilizatorului). Aceasta înseamnă că oricine ascultă traficul de rețea din rețeaua dvs. (sau fără să știți, în timp ce navigați pe forumuri în timp ce sunteți conectat la un hotspot public) vă poate prelua IMEI dacă telefonul dvs. (sau dvs.) decideți că este timpul să verificați un Actualizați.
Membru al echipei XDA Portal și fost moderator de forum, b1nny, a descoperit problema de interceptând traficul dispozitivului său folosind mitmproxy și a postat despre asta pe forumurile OnePlus înapoi pe 4 iulie. După ce a cercetat mai mult ce se întâmpla atunci când OnePlus 3 al său căuta o actualizare, b1nny a descoperit că OnePlus nu necesită un IMEI valid pentru a oferi o actualizare utilizatorului. Pentru a demonstra acest lucru, b1nny a folosit a Aplicația Chrome numită Postman pentru a trimite o solicitare HTTP POST către serverul de actualizare al OnePlus și și-a editat IMEI-ul cu date de gunoi. Server-ul încă a returnat pachetul de actualizare așa cum era de așteptat. b1nny a făcut alte descoperiri cu privire la procesul OTA (cum ar fi faptul că serverele de actualizare sunt partajate cu Oppo), dar partea cea mai îngrijorătoare a fost faptul că acest identificator unic de dispozitiv era transmis HTTP.
Încă nu se vede nicio soluție
După ce a descoperit problema de securitate, b1nny și-a făcut diligența și a încercat să-i contacteze pe amândoi Moderatorii forumului OnePlus și reprezentanții serviciului pentru clienți care ar putea fi în măsură să transmită problema în lanțul echipelor relevante. Un moderator a susținut că emisiunea va fi transmisă mai departe; cu toate acestea, el nu a putut primi nicio confirmare că problema a fost analizată. Când problema a fost adusă inițial în atenția Redditors pe subreddit-ul /r/Android, mulți erau îngrijorați, dar erau încrezători că problema va fi rezolvată rapid. La portalul XDA, am crezut și noi că metoda nesigură HTTP POST folosită pentru ping-ul serverului OTA pentru o actualizare va fi în cele din urmă remediată. Descoperirea inițială a problemei a fost pe OxygenOS versiunea 3.2.1 a sistemului de operare (deși ar fi putut exista în versiunile anterioare ca bine), dar b1nny a confirmat cu noi ieri că problema persistă încă pe cea mai recentă versiune stabilă a sistemului de operare Oxygen: versiunea 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Cu toate acestea, odată cu lansarea recentă a comunității OxygenOS 3.5, am fost din nou curioși să vedem dacă problema persistă. Am contactat OnePlus cu privire la această problemă și un purtător de cuvânt al companiei ne-a spus că problema a fost într-adevăr remediată. Cu toate acestea, unul dintre membrii portalului nostru l-am pus în flash cea mai recentă construcție a comunității și a folosit mitmproxy pentru a intercepta traficul de rețea al lui OnePlus 3 și, spre surprinderea noastră, am descoperit că OxygenOS încă trimitea un IMEI în cererea HTTP POST către serverul de actualizare.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Acest lucru, în ciuda confirmării aparente că problema a fost rezolvată, ne îngrijorează profund la XDA. Nu are sens ca OnePlus să folosească HTTP pentru a trimite o solicitare către serverele sale, dacă tot vor Este să folosiți IMEI-ul nostru în scopuri de extragere a datelor, atunci probabil că ar putea face acest lucru într-un mod mult mai sigur metodă.
Scurgeri de IMEI și dvs
Nu e nimic substanţial este periculos ca IMEI-ul dvs. să se scurgă printr-o rețea publică. Deși identifică în mod unic dispozitivul dvs., există și alți identificatori unici care ar putea fi utilizați în mod rău intenționat. Aplicațiile pot solicita acces pentru a vedea IMEI-ul dispozitivului dvs. destul de ușor. Deci care este problema? În funcție de locul în care locuiți, IMEI-ul dvs. ar putea fi folosit pentru a vă urmări de către guvern sau un hacker care aparent este suficient de interesat de dvs. Dar acestea nu sunt cu adevărat preocupări pentru utilizatorul obișnuit.
Cea mai mare problemă potențială ar putea fi utilizările ilicite ale IMEI-ului dvs.: inclusiv, dar fără a se limita la, includerea pe lista neagră a IMEI-ului sau clonarea IMEI-ului pentru a fi utilizat pe un telefon de pe piața neagră. Dacă s-ar întâmpla oricare dintre scenarii, ar putea fi un inconvenient masiv să te scoți din această groapă. O altă problemă potențială este legată de aplicațiile care încă folosesc IMEI-ul dvs. ca identificator. Whatsapp, de exemplu, folosea un MD5-hashed, versiune inversată de IMEI ca parola contului. După ce se uită online, unele site-uri umbrite pretind că pot sparge conturile Whatsapp folosind un număr de telefon și IMEI, dar nu le pot verifica.
Încă, este important să protejați orice informație care vă identifică în mod unic pe dvs. sau pe dispozitivele dvs. Dacă problemele de confidențialitate sunt importante pentru dvs., atunci această practică a OnePlus ar trebui să fie îngrijorătoare. Sperăm că acest articol vă va informa despre aceste potențiale implicații de securitate din spatele acestui lucru practică și să aducă această situație în atenția OnePlus (încă o dată) pentru a putea fi remediată prompt.