Odkrita je bila resna ranljivost v zagonskem nalagalniku OnePlus 6. To izkoriščanje, ki zahteva fizični dostop, obide vse varnostne ukrepe.
Posodobitev 6/9/18 14:31 CT: OnePlus je izdal izjavo o tej temi.
Posodobitev 15.6.18 ob 10:47: OnePlus se je začel uvajati OxygenOS 5.1.7 s popravkom za ranljivost zagonskega nalagalnika.
OnePlus 6 je bil postal uraden sredi prejšnjega meseca. Naprava se je šele pred kratkim začela prebijati v roke potrošnikov in razvijalcev na naših forumih in že poslušamo o delu, ki se izvaja. An uradna zgradba TWRP je že na voljo in delo poteka lepo na neuradnem LineageOS 15.1 GSI. OnePlus 6 ni deležen pozornosti le uporabnikov, ki jih naprava zanima za osebno uporabo oz projektov, vendar pa varnostni raziskovalci začenjajo podrobneje preučevati napravo, da bi videli, kaj lahko najti.
Eden takih raziskovalcev, Jason Donenfeld, predsednik Edge Security LLC, na XDA znan tudi kot zx2c4, je odkril ranljivost v napravi, ki mu omogoča zagon katere koli poljubno spremenjene slike, ki
obide zaščitne ukrepe zagonskega nalagalnika (kot je zaklenjen zagonski nalagalnik). (Izkoriščanje ranljivosti zahteva fizični dostop do naprave.)Ta ranljivost omogoča napadalcu s fizičnim dostopom in privezano povezavo z osebnim računalnikom, da prevzame nadzor nad napravo. Če je zagonska slika spremenjena z nevarnim ADB in ADB kot root privzeto, potem napadalec s fizičnim dostopom bo imel popoln nadzor nad napravo. Za razliko od zloglasnega "Zadnja vrata" (ki v resnici ni bila stranska vrata) na OnePlus 5T, izkoriščanje te ranljivosti ne zahteva, da ima uporabnik že omogočeno odpravljanje napak USB. To pomeni, da se mora napadalec samo dokopati do naprave – in nič več – da dobi popoln dostop do nje, če izkoristi to ranljivost na OnePlus 6.
O napaki so poročali več inženirjem OnePlus in Jason Donenfeld je potrdil, da je član varnostne ekipe potrdil poročilo. To zadevo bomo spremljali, ko bo na voljo več informacij. Upamo, da bo hitro izdan popravek za zagonski nalagalnik, da bo to težavo mogoče rešiti.
Posodobitev 1: Izjava OnePlus
OnePlus je ponudil izjavo o tej zadevi:
»V OnePlus varnost jemljemo resno. Smo v stiku z varnostnim raziskovalcem in kmalu bo na voljo posodobitev programske opreme." - Tiskovni predstavnik OnePlus
Še naprej bomo spremljali to temo in vas obvestili, ko bo na voljo posodobitev programske opreme.
Posodobitev 2: Popravek
OnePlus je začel uvajati OxygenOS 5.1.7 za OnePlus 6 15. junija z popravek za ranljivost zagonskega nalagalnika.
Ta članek je bil posodobljen, da odraža, da napadalec potrebuje fizični dostop do naprave in privezano povezavo z osebnim računalnikom, da izkoristi ranljivost.