V bootloaderi OnePlus 6 bola objavená vážna zraniteľnosť. Tento exploit, ktorý vyžaduje fyzický prístup, obchádza všetky bezpečnostné opatrenia.
Aktualizácia 9.6.18 14:31 CT: OnePlus vydalo vyhlásenie k tejto téme.
Aktualizácia 15.6.18 10:47: OnePlus sa začal zavádzať OxygenOS 5.1.7 s opravou zraniteľnosti zavádzača.
OnePlus 6 bol oficiálne v polovici minulého mesiaca. Zariadenie sa len nedávno začalo dostávať do rúk spotrebiteľov a vývojárov na našich fórach a už počúvame o práci, ktorá sa robí. An oficiálne zostavenie TWRP je už k dispozícii a práce pokračujú pekne na neoficiálnom LineageOS 15.1 GSI. OnePlus 6 nepriťahuje pozornosť iba používateľov, ktorí sa zaujímajú o zariadenie na osobné použitie, resp projektov, keďže výskumníci v oblasti bezpečnosti sa začínajú na zariadenie bližšie pozerať, aby zistili, čo môžu Nájsť.
Jeden taký výskumník, Jason Donenfeld, prezident o Edge Security LLC, známy aj na XDA ako zx2c4, objavil na zariadení chybu zabezpečenia, ktorá mu umožňuje zaviesť ľubovoľný upravený obrázok, ktorý
obchádza ochranné opatrenia zavádzača (napríklad uzamknutý bootloader). (Zneužitie tejto zraniteľnosti vyžaduje fyzický prístup k zariadeniu.)Táto zraniteľnosť umožňuje útočníkovi s fyzickým prístupom a uviazaným pripojením k počítaču prevziať kontrolu nad zariadením. Ak je zavádzací obraz upravený s nezabezpečeným ADB a ADB ako root v predvolenom nastavení, potom útočník s fyzickým prístupom bude mať úplnú kontrolu nad zariadením. Na rozdiel od neslávne známeho „zadné dvere“ (čo v skutočnosti nebolo zadné vrátka) na OnePlus 5T, využitie tejto zraniteľnosti nevyžaduje, aby mal používateľ už povolené ladenie USB. To znamená, že útočníkovi stačí, aby sa k zariadeniu dostal – a nič viac – aby k nemu získal úplný prístup, ak využije túto zraniteľnosť na OnePlus 6.
Chyba bola nahlásená viacerým inžinierom OnePlus a Jason Donenfeld potvrdil, že člen bezpečnostného tímu správu potvrdil. Keď budú k dispozícii ďalšie informácie, budeme túto záležitosť sledovať. Dúfame, že čoskoro bude vydaná oprava pre bootloader, aby sa tento problém dal vyriešiť.
Aktualizácia 1: Vyhlásenie OnePlus
OnePlus ponúkol vyhlásenie k tejto záležitosti:
„Bezpečnosť v OnePlus berieme vážne. Sme v kontakte s bezpečnostným výskumníkom a čoskoro bude vydaná aktualizácia softvéru." - Hovorca OnePlus
Túto tému budeme naďalej sledovať a aktualizujeme vás, keď bude k dispozícii aktualizácia softvéru.
Aktualizácia 2: Oprava
OnePlus začal 15. júna zavádzať OxygenOS 5.1.7 pre OnePlus 6 oprava pre zraniteľnosť zavádzača.
Tento článok bol aktualizovaný, aby odrážal, že útočník potrebuje fyzický prístup k zariadeniu, ako aj uviazané pripojenie k počítaču, aby mohol túto chybu zabezpečenia zneužiť.