ОнеПлус телефони који користе ОкигенОС пуштају ИМЕИ вашег телефона сваки пут када ваш телефон тражи ажурирање. Телефон користи небезбедни ХТТП ПОСТ захтев.
Тхе Један плус један био је један од првих Андроид паметних телефона који је доказао да потрошачи не морају да дају 600+ долара за водеће искуство. Другим речима, чак и по нижој цени требало би никад се не устали за куповину инфериорног производа.
Још увек могу да се сетим узбуђења око откривања спецификација за ОнеПлус Оне – компанија је искористила фанатизам који су показали Андроид ентузијасти када су у питању цурења информација. ОнеПлус је одлучио да полако открива спецификације телефона једну по једну неколико недеља пре званичног лансирања - и успело је.
У то време смо саливени због телефонске употребе Снапдрагона 801 са екраном од 5,5 инча од 1080п, као и веома примамљивог партнерства са новонасталом стартупом Цианоген Инц. (од којих су били Андроид ентузијасти врло узбуђен због популарности ЦианогенМод-а). А онда је ОнеПлус бацио највећу бомбу на све нас - почетну цену од 299 долара. Само ме је још један телефон заиста одушевио својим ценама и перформансама – Некус 5 – и
ОнеПлус Оне га је избацио из воде. Сећам се да су многи Некус ентузијасти били растрзани између надоградње на ОнеПлус Оне или чекања на издавање следећег Некуса.Али онда је ОнеПлус направио а низ одлука који су, иако су неки били економски оправдани, убили неки замах за бренд међу Андроид ентузијастима. Прво је била контроверза око система позивања, затим су дошле контроверзне рекламе и свађајући се са цијаногеном, онда компанија је добила одређену мржњу за ОнеПлус 2 ослобађање које у очима многих људи није успео да заживи на његов надимак „Флагсхип Киллер“, и коначно ту је црвенокоси пасторак ОнеПлус Кс паметни телефон који је тек добио Андроид Марсхмаллов а Пре неколико дана.
Два корака напред, један корак назад
За част ОнеПлус-а, компанија је успела поново запалити хипе окружујући своје производе са ОнеПлус 3. Овога пута, ОнеПлус не само да се побринуо да одговори на многе притужбе које су рецензенти и корисници имали против ОнеПлус 2, већ је чак отишао изнад и даље у решавање жалби у раном разматрању и издавање изворног кода за прилагођене програмере РОМ-а. Још једном, ОнеПлус је створио производ који је довољно убедљив да ме натера да размислим чекајући пуштање следећег Некус телефона и да неколико чланова нашег особља купи један (или два) за њих. Али постоји једно питање око којег су неки од наших запослених опрезни – софтвер. Прилично смо подељени у погледу начина на који користимо наше телефоне – неки од нас живе на ивици крварења и флешују прилагођене РОМ-ове као што је султанкда-ин незванични Цианогенмод 13 за ОнеПлус 3, док други покрећу само стандардни фирмвер на свом уређају. Међу нашим особљем, постоје одређена неслагања око квалитета недавно објављених Израда заједнице ОкигенОС 3.5 (што ћемо истражити у будућем чланку), али постоји једно питање око којег се сви слажемо: крајње збуњеност чињеницом да ОнеПлус користи ХТТП за пренос вашег ИМЕИ-а док проверава да ли има ажурирања софтвера.
Да, добро сте прочитали. Ваш ИМЕИ, број који јединствено идентификује ваш одређени телефон, је послат нешифрован на ОнеПлус сервере када ваш телефон тражи ажурирање (са или без корисничког уноса). То значи да свако ко слуша мрежни саобраћај у вашој мрежи (или не зна за вас, док прегледате нашу форумима док су повезани на јавну приступну тачку) може да преузме ваш ИМЕИ ако ваш телефон (или ви) одлучи да је време да проверите да ли ажурирање.
Члан КСДА Портал тима и бивши модератор форума, б1нни, открио је проблем од пресретање саобраћаја његовог уређаја Користећи митмпроки и објавио о томе на ОнеПлус форумима још 4. јула. Након што је додатно истраживао шта се дешавало када је његов ОнеПлус 3 тражио ажурирање, б1нни је открио да је ОнеПлус не захтева важећи ИМЕИ да понуди ажурирање кориснику. Да би ово доказао, б1нни је користио а Цхроме апликација под називом Постман да пошаље ХТТП ПОСТ захтев ОнеПлус-овом серверу за ажурирање и уредио свој ИМЕИ са отпадним подацима. Сервер ипак вратио пакет ажурирања како се очекивало. б1нни је направио друга открића у вези са ОТА процесом (као што је чињеница да се сервери за ажурирање деле са Оппо), али оно што је највише забрињавало била је чињеница да се овај јединствени идентификатор уређаја преносио ХТТП.
Поправка још није на видику
Након што је открио безбедносни проблем, б1нни је извршио дужну пажњу и покушао да контактира обоје ОнеПлус модератори форума и представници корисничке службе који би могли да проследе проблем на горе у ланцу релевантним тимовима. Модератор је тврдио да ће објављено бити прослеђено; међутим, није могао да добије никакву потврду да се питање разматра. Када је проблем првобитно скренут пажњу Реддитор-а на /р/Андроид субреддит-у, многи су били забринути, али су били уверени да ће проблем бити брзо решен. И ми смо на КСДА порталу веровали да ће небезбедна ХТТП ПОСТ метода која се користи за пинговање ОТА сервера за ажурирање на крају бити исправљена. Првобитно откриће проблема било је на ОкигенОС верзији 3.2.1 оперативног система (иако је могао постојати у претходним верзијама као добро), али б1нни је јуче потврдио са нама да проблем и даље постоји на најновијој стабилној верзији Окиген ОС-а: верзија 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Међутим, са недавним издањем верзије заједнице ОкигенОС 3.5 поново смо били радознали да видимо да ли је проблем и даље присутан. Контактирали смо ОнеПлус у вези са овим проблемом и портпарол компаније нам је рекао да је проблем заиста закрпљен. Међутим, имали смо једног од чланова нашег портала да флешује најновију верзију заједнице и користи митмпроки да пресретне мрежни саобраћај његовог ОнеПлус 3, и на наше изненађење открили смо да ОкигенОС је и даље слао ИМЕИ у ХТТП ПОСТ захтеву серверу за ажурирање.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Ово, упркос очигледној потврди да је проблем решен, дубоко брине нас у КСДА. Нема смисла да ОнеПлус користи ХТТП за слање захтева својим серверима, ако све што желе да користимо наш ИМЕИ за потребе рударења података онда би то вероватно могли учинити много безбедније методом.
ИМЕИ цури и ви
Нема ничега суштински опасно због цурења вашег ИМЕИ-а преко јавне мреже. Иако јединствено идентификује ваш уређај, постоје и други јединствени идентификатори који се могу злонамерно користити. Апликације могу да захтевају приступ да бисте прилично лако видели ИМЕИ свог уређаја. У чему је проблем? У зависности од тога где живите, ваш ИМЕИ може да користи да вас прати влада или хакер који је очигледно довољно заинтересован за вас. Али то заправо није брига за просечног корисника.
Највећи потенцијални проблем може бити недозвољена употреба вашег ИМЕИ-а: укључујући, али не ограничавајући се на, стављање вашег ИМЕИ-ја на црну листу или клонирање ИМЕИ-ја за коришћење на црном тржишту телефона. Ако би се десио било који сценарио, могло би да буде велика непријатност да се ископате из ове рупе. Још један потенцијални проблем је у вези са апликацијама које и даље користе ваш ИМЕИ као идентификатор. Вхатсапп је, на пример, некада користио МД5 хеширана, обрнута верзија вашег ИМЕИ-а као лозинке вашег налога. Након прегледа на мрежи, неке сумњиве веб локације тврде да могу да хакују Вхатсапп налоге користећи број телефона и ИМЕИ, али не могу да их проверим.
Још увек, важно је да заштитите све информације које јединствено идентификују вас или ваше уређаје. Ако су вам питања приватности важна, онда би ова пракса ОнеПлус-а требала бити забрињавајућа. Надамо се да ће овај чланак служити да вас информише о потенцијалним безбедносним импликацијама које стоје иза овога вежбајте и да на ову ситуацију скренете пажњу ОнеПлус-а (још једном) како би се она поправила промптно.