Upozornenie: Napriek potvrdeniu problému OnePlus pri kontrole aktualizácií stále uniká vaše IMEI

Z telefónov OnePlus so systémom OxygenOS uniká IMEI vášho telefónu vždy, keď váš telefón hľadá aktualizáciu. Telefón používa nezabezpečenú požiadavku HTTP POST.

The OnePlus One bol jedným z prvých smartfónov so systémom Android, ktorý dokázal, že spotrebitelia nepotrebujú za vlajkovú loď zaplatiť viac ako 600 dolárov. Inými slovami, aj za nižšiu cenu by ste mali nikdy nevyrovnať za nákup podradného produktu.

Stále si pamätám humbuk okolo odhalenia špecifikácií pre OnePlus One – spoločnosť zarobila na fanatizme, ktorý prejavili nadšenci Androidu, pokiaľ išlo o úniky. OnePlus sa rozhodol pomaly odhaľovať špecifikácie telefónu jeden po druhom niekoľko týždňov pred oficiálnym uvedením na trh – a fungovalo to.

V tom čase sa nám zbiehali sliny na používanie telefónu Snapdragon 801 s 5,5“ 1080p displejom, ako aj na veľmi lákavé partnerstvo s začínajúcim startupom Cyanogen Inc. (z ktorých boli nadšenci Androidu veľmi nadšený kvôli popularite CyanogenMod). A potom OnePlus vypustil najväčšiu bombu na nás všetkých – počiatočnú cenu 299 dolárov. Len jeden ďalší telefón ma skutočne ohromil svojou cenou – Nexus 5 – a

OnePlus One to sfúkol z vody. Pamätám si, že mnohí nadšenci Nexus sa zmietali medzi aktualizáciou na OnePlus One alebo čakaním na vydanie ďalšieho Nexusu.

OnePlus One upútal pozornosť fanúšikov Nexus, ktorú nedokázal prilákať žiadny iný telefón

Ale potom OnePlus urobil a rad rozhodnutí že, hoci niektoré boli ekonomicky opodstatnené, zabilo pre značku medzi nadšencami Androidu určitý impulz. Najprv to bola kontroverzia okolo pozývacieho systému, potom prišli kontroverzné reklamy a vypadávanie s Cyanogen, potom spoločnosť dostala určitú nenávisť OnePlus 2 uvoľnenie, ktoré v očiach mnohých ľudí nepodarilo sa žiť na jeho prezývku „Zabijak vlajkovej lode“ a konečne tu je to ryšavé nevlastné dieťa OnePlus X smartfón, ktorý sme práve dostali Android Marshmallow a pred pár dňami.


Dva kroky vpred, jeden krok vzad

Ku cti OnePlus, spoločnosť dokázala oživiť humbuk obklopuje svoje produkty OnePlus 3. Tentoraz sa OnePlus nielenže postaral o to, aby riešil mnohé sťažnosti, ktoré mali recenzenti a používatelia voči OnePlus 2, ale dokonca išiel nad rámec riešenie sťažností na skoré preskúmanie a uvoľnenie zdrojového kódu pre vlastných vývojárov ROM. OnePlus opäť vytvoril produkt dostatočne presvedčivý na to, aby som prehodnotil čakanie na vydanie ďalšieho telefónu Nexus a niekoľko členov nášho personálu si ho kúpilo (alebo dve) pre nich. Ale je tu jeden problém, ktorý niektorí naši zamestnanci obávajú – softvér. Sme dosť rozdelení v tom, ako používame naše telefóny – niektorí z nás žijú na pokraji krvácania a flashujú vlastné ROM, ako napr. Neoficiálny Cyanogenmod 13 od sultanxda pre OnePlus 3, zatiaľ čo iní spúšťajú na svojom zariadení iba skladový firmvér. Medzi našimi zamestnancami existujú určité nezhody o kvalite nedávno vydaného Vytvorenie komunity OxygenOS 3.5 (ktorý preskúmame v budúcom článku), ale je tu jeden problém, na ktorom sa všetci zhodneme: úplné zmätok nad skutočnosťou, že OnePlus používa HTTP na prenos vášho IMEI pri kontrole aktualizácií softvéru.

Všimnite si (upravené) IMEI zahrnuté v tele žiadosti HTTP POST

Áno, čítate správne. Vaše IMEI, číslo, ktoré jedinečne identifikuje váš konkrétny telefón, je odoslaná nezašifrované na servery OnePlus, keď váš telefón skontroluje dostupnosť aktualizácie (s alebo bez zásahu používateľa). To znamená, že každý, kto počúva sieťovú prevádzku vo vašej sieti (alebo bez toho, aby ste o tom vedeli, keď si prehliadate naše fóra pri pripojení k verejnému hotspotu) môžu získať vaše IMEI, ak sa váš telefón (alebo vy) rozhodnete, že je čas skontrolovať aktualizovať.

Člen tímu portálu XDA a bývalý moderátor fóra, b1nny, objavil problém zachytenie premávky jeho zariadenia použitím mitmproxy a uverejnili o tom na fórach OnePlus späť 4. júla. Po ďalšom skúmaní toho, čo sa deje, keď jeho OnePlus 3 kontroloval aktualizáciu, b1nny zistil, že OnePlus nevyžaduje platný IMEI ponúknuť používateľovi aktualizáciu. Aby to dokázal, b1nny použil a Aplikácia Chrome s názvom Postman odoslať požiadavku HTTP POST na aktualizačný server OnePlus a upraviť jeho IMEI pomocou údajov o odpade. Server stále vrátil balík aktualizácie podľa očakávania. b1nny urobil ďalšie zistenia týkajúce sa procesu OTA (napríklad skutočnosť, že aktualizačné servery sú zdieľané s Oppo), ale najviac znepokojujúca časť bola skutočnosť, že tento jedinečný identifikátor zariadenia sa prenášal HTTP.


Zatiaľ žiadna oprava v nedohľadne

Po zistení bezpečnostného problému b1nny vykonal náležitú starostlivosť a pokúsil sa kontaktovať oboch Moderátori fóra OnePlus a zástupcovia služieb zákazníkom ktorí by mohli byť schopní postúpiť problém v reťazci príslušným tímom. Moderátor tvrdil, že vydanie bude postúpené ďalej; nemohol však dostať žiadne potvrdenie o tom, že sa problém skúma. Keď bol problém pôvodne upozornený Redditors na /r/Android subreddit, mnohí boli znepokojení, ale boli si istí, že problém bude rýchlo vyriešený. Na portáli XDA sme tiež verili, že nezabezpečená metóda HTTP POST používaná na ping na OTA server pre aktualizáciu bude nakoniec opravená. Počiatočné zistenie problému bolo na OxygenOS verzie 3.2.1 operačného systému (hoci mohol existovať v predchádzajúcich verziách ako no), ale b1nny nám včera potvrdil, že problém stále pretrváva na najnovšej stabilnej verzii Oxygen OS: verzia 3.2.4.

POST: 

User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407

Content-Type: text/plain; charset=UTF-8

Host: i.ota.coloros.com

Connection: Keep-Alive

Accept-Encoding: gzip

Content-Length: 188

Raw

{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}

ANSWER:

Server: nginx

Date: Wed, 24 Aug 2016 18:20:24 GMT

Content-Type: application/json; charset=UTF-8

Connection: keep-alive

X-Server-ID: hz0231

No content

Pri nedávnom vydaní komunitnej zostavy OxygenOS 3.5 sme však boli opäť zvedaví, či problém pretrváva. V súvislosti s týmto problémom sme sa obrátili na OnePlus a hovorca spoločnosti nám povedal, že problém bol skutočne opravený. Jeden z našich členov portálu však flashoval najnovšiu komunitu a používal mitmproxy na zachytenie sieťovej prevádzky jeho OnePlus 3 a na naše prekvapenie sme zistili, že OxygenOS stále odosielal IMEI v požiadavke HTTP POST na aktualizačný server.

POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1. 

User-Agent: com.oneplus.opbackup/1.3.0

Cache-Control: no-cache

Content-Type: application/json; charset=utf-8

Host: i.ota.coloros.com

Connection: Keep-Alive

Accept-Encoding: gzip

Content-Length: 188

Raw

{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}

Toto, napriek zjavnému potvrdeniu, že problém bol vyriešený, nás v XDA hlboko znepokojuje. Pre OnePlus nemá zmysel používať HTTP na odoslanie požiadavky na svoje servery, ak chcú je použiť naše IMEI na účely dolovania údajov, potom by to pravdepodobne mohli urobiť oveľa bezpečnejšie metóda.


Úniky IMEI a vy

Nic tam nie je podstatne nebezpečné pre únik vášho IMEI cez verejnú sieť. Hoci jedinečne identifikuje vaše zariadenie, existujú aj iné jedinečné identifikátory, ktoré by mohli byť zneužité. Aplikácie môžu požiadať o prístup IMEI vášho zariadenia môžete ľahko zobraziť. Takže o čo ide? V závislosti od toho, kde žijete, môže vaše IMEI použiť na sledovanie vládou alebo hackerom, ktorý sa o vás zjavne dostatočne zaujíma. Ale to nie sú pre bežného používateľa žiadne obavy.

Najväčším potenciálnym problémom by mohlo byť nezákonné použitie vášho IMEI: vrátane, ale nie výlučne, uvedenia vášho IMEI na čiernu listinu alebo klonovania IMEI na použitie v telefóne na čiernom trhu. Ak by nastal ktorýkoľvek scenár, mohlo by to byť obrovské nepríjemnosti vyhrabať sa z tejto diery. Ďalší potenciálny problém sa týka aplikácií, ktoré stále používajú vaše IMEI ako identifikátor. Whatsapp napríklad používal MD5 hašovaná, obrátená verzia vášho IMEI ako hesla vášho účtu. Po rozhliadnutí sa online niektoré pochybné webové stránky tvrdia, že dokážu hacknúť účty Whatsapp pomocou telefónneho čísla a IMEI, ale nemôžem ich overiť.

napriek tomu je dôležité chrániť všetky informácie, ktoré jedinečne identifikujú vás alebo vaše zariadenia. Ak sú pre vás dôležité problémy s ochranou osobných údajov, táto prax OnePlus by vás mala znepokojovať. Dúfame, že tento článok slúži na to, aby sme vás informovali o potenciálnych bezpečnostných dôsledkoch, ktoré sú za tým prax a upozorniť OnePlus na túto situáciu (ešte raz), aby mohla byť opravená okamžite.