Телефоны OnePlus под управлением OxygenOS передают IMEI вашего телефона каждый раз, когда он проверяет наличие обновлений. Телефон использует небезопасный запрос HTTP POST.
Один плюс один был одним из первых Android-смартфонов, доказавших, что потребителям не нужно выкладывать более 600 долларов за флагманский опыт. Другими словами, даже при более низкой цене вам следует никогда не решить за покупку некачественного товара.
Я до сих пор помню шумиху вокруг раскрытия спецификаций OnePlus One — компания нажилась на фанатизме, проявленном энтузиастами Android, когда дело дошло до утечек. OnePlus решила постепенно раскрывать характеристики телефона одну за другой в течение нескольких недель до официального запуска — и это сработало.
В то время мы были в восторге от использования в телефоне Snapdragon 801 с 5,5-дюймовым дисплеем 1080p, а также от очень заманчивого партнерства с молодым стартапом Cyanogen Inc. (из них были энтузиасты Android очень воодушевлен популярностью CyanogenMod). А затем OnePlus обрушил на всех нас самую большую бомбу — стартовую цену в 299 долларов. Только еще один телефон по-настоящему поразил меня своим соотношением цены и качества — Nexus 5 — и
Но затем OnePlus сделал серия решений это, хотя некоторые из них были экономически оправданы, лишило бренд некоторой популярности среди энтузиастов Android. Сначала это были споры вокруг системы приглашений, затем появились противоречивые рекламные объявления и ссора с Цианогеном, затем компания получила некоторую ненависть за OnePlus 2 релиз, который в глазах многих людей не смог оправдать себя к своему прозвищу «Флагманский убийца» и окончательно вот рыжий пасынок OnePlus X смартфон, который только что получил Андроид Зефир а Несколько дней назад.
Два шага вперед, один шаг назад
К чести OnePlus, компания смогла разжечь ажиотаж окружая свою продукцию OnePlus 3. На этот раз OnePlus не только позаботился о том, чтобы устранить многие претензии рецензентов и пользователей к OnePlus 2, но даже сделал все возможное в этом вопросе. рассмотрение жалоб на досрочное рассмотрение и выпуск исходного кода для разработчиков пользовательских ПЗУ. И снова компания OnePlus создала продукт, достаточно привлекательный, чтобы заставить меня пересмотреть решение о выпуске следующего телефона Nexus и попросить нескольких наших сотрудников купить его (или два) для них самих. Но есть один вопрос, к которому некоторые наши сотрудники относятся настороженно – это программное обеспечение. У нас довольно разные взгляды на то, как мы используем наши телефоны: некоторые из нас живут на переднем крае и прошивают собственные ПЗУ, такие как неофициальный Cyanogenmod 13 от sultanxda для OnePlus 3, в то время как другие используют на своем устройстве только стандартную прошивку. Среди наших сотрудников существуют некоторые разногласия по поводу качества недавно выпущенных Сборка сообщества OxygenOS 3.5 (которую мы рассмотрим в следующей статье), но есть одна проблема, с которой мы все согласны: полное недоумение по поводу того факта, что OnePlus использует HTTP для передачи вашего IMEI при проверке обновлений программного обеспечения.
Да, вы правильно прочитали. Ваш IMEI, номер, который однозначно идентифицирует ваш конкретный телефон, отправлено незашифрованный на серверы OnePlus, когда ваш телефон проверяет наличие обновлений (с вводом пользователя или без него). Это означает, что любой, кто прослушивает сетевой трафик в вашей сети (или без вашего ведома, пока вы просматриваете наш форумах при подключении к общедоступной точке доступа) может получить ваш IMEI, если ваш телефон (или вы) решите, что пришло время проверить обновлять.
Член команды портала XDA и бывший модератор форума, зайка, обнаружил проблему перехват трафика его устройства с использованием митмппрокси и разместил об этом на форумах OnePlus еще 4 июля. После дальнейшего изучения того, что происходило, когда его OnePlus 3 проверял наличие обновлений, b1nny обнаружил, что OnePlus не требует действующего IMEI чтобы предложить обновление пользователю. Чтобы доказать это, b1nny использовал Приложение Chrome под названием Postman отправить запрос HTTP POST на сервер обновлений OnePlus и отредактировать свой IMEI с помощью мусорных данных. Сервер все равно вернул пакет обновления, как и ожидалось. b1nny сделал и другие открытия, касающиеся процесса OTA (например, тот факт, что серверы обновлений используются совместно с Oppo), но больше всего беспокоило то, что этот уникальный идентификатор устройства передавался через HTTP.
Исправления пока не видно
Обнаружив проблему безопасности, b1nny проявил должную осмотрительность и попытался связаться с обоими Модераторы форума OnePlus и представители службы поддержки клиентов кто сможет передать проблему вверх по цепочке соответствующим командам. Модератор заявил, что выпуск будет передан; однако он не смог получить никакого подтверждения того, что этот вопрос рассматривается. Когда проблема была первоначально доведена до сведения пользователей Reddit в субреддите /r/Android, многие были обеспокоены, но были уверены, что проблема будет быстро решена. На портале XDA мы тоже полагали, что небезопасный метод HTTP POST, используемый для проверки связи с OTA-сервером на наличие обновлений, в конечном итоге будет исправлен. Первоначально проблема была обнаружена в ОС OxygenOS версии 3.2.1 (хотя она могла существовать и в предыдущих версиях как ну), но b1nny вчера подтвердил нам, что проблема все еще сохраняется в последней стабильной версии Oxygen OS: версия 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Однако с недавним выпуском общественной сборки OxygenOS 3.5 нам снова стало любопытно узнать, сохраняется ли проблема. Мы обратились в OnePlus по поводу этой проблемы, и представитель компании сообщил, что проблема действительно устранена. Однако мы попросили одного из участников нашего портала прошить последнюю сборку сообщества и использовать mitmproxy для перехвата сетевого трафика своего OnePlus 3, и, к нашему удивлению, мы обнаружили, что OxygenOS все еще отправлял IMEI в HTTP-запросе POST на сервер обновлений..
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Это, несмотря на очевидное подтверждение того, что проблема решена, глубоко беспокоит нас на XDA. OnePlus не имеет смысла использовать HTTP для отправки запроса на свои серверы, если все, что им нужно. использовать наш IMEI для целей интеллектуального анализа данных, тогда они, вероятно, могли бы сделать это гораздо более безопасным способом. метод.
Утечка IMEI и вы
Нет ничего существенно Опасно, что ваш IMEI утечет в общедоступную сеть. Хотя он однозначно идентифицирует ваше устройство, существуют и другие уникальные идентификаторы, которые могут быть использованы злонамеренно. Приложения могут запрашивать доступ чтобы легко увидеть IMEI вашего устройства. Так в чем проблема? В зависимости от того, где вы живете, ваш IMEI может быть использован правительством или хакером, который, очевидно, достаточно заинтересован в вас, чтобы отслеживать вас. Но это не особо беспокоит обычного пользователя.
Самой большой потенциальной проблемой может быть незаконное использование вашего IMEI: включая, помимо прочего, занесение вашего IMEI в черный список или клонирование IMEI для использования на телефоне на черном рынке. Если произойдет любой из сценариев, выкапывать себя из этой ямы может быть огромным неудобством. Другая потенциальная проблема связана с приложениями, которые по-прежнему используют ваш IMEI в качестве идентификатора. WhatsApp, например, раньше использовал MD5-хешированная, перевернутая версия вашего IMEI в качестве пароля вашей учетной записи. Покопавшись в Интернете, я обнаружил, что некоторые сомнительные веб-сайты утверждают, что могут взломать учетные записи WhatsApp, используя номер телефона и IMEI, но я не могу их проверить.
Все еще, важно защищать любую информацию, которая однозначно идентифицирует вас или ваши устройства.. Если для вас важны вопросы конфиденциальности, то такая практика OnePlus должна вас беспокоить. Мы надеемся, что эта статья проинформирует вас о потенциальных последствиях для безопасности, стоящих за этим. попрактиковаться и довести эту ситуацию до сведения OnePlus (еще раз), чтобы ее можно было исправить. быстро.