โทรศัพท์ OnePlus ที่ใช้ OxygenOS ทำให้ IMEI ของโทรศัพท์ของคุณรั่วไหลทุกครั้งที่โทรศัพท์ของคุณตรวจสอบการอัปเดต โทรศัพท์ใช้คำขอ HTTP POST ที่ไม่ปลอดภัย
ที่ วันพลัสวัน เป็นหนึ่งในสมาร์ทโฟน Android รุ่นแรกๆ ที่พิสูจน์ว่าผู้บริโภคไม่จำเป็นต้องจ่ายเงินมากกว่า 600 เหรียญสหรัฐเพื่อประสบการณ์เรือธง กล่าวอีกนัยหนึ่ง แม้แต่ในราคาที่ต่ำกว่าคุณก็ควรทำ ไม่เคยชำระ เพื่อซื้อสินค้าด้อยคุณภาพ
ฉันยังจำโฆษณาที่เปิดเผยเกี่ยวกับข้อมูลจำเพาะของ OnePlus One ได้ - บริษัท ใช้ประโยชน์จากความคลั่งไคล้ที่แสดงโดยผู้ที่ชื่นชอบ Android เมื่อมีการรั่วไหล OnePlus ตัดสินใจค่อยๆ เปิดเผยข้อมูลจำเพาะของโทรศัพท์ทีละตัวเป็นเวลาสองสามสัปดาห์ก่อนการเปิดตัวอย่างเป็นทางการ และได้ผล
ในเวลานั้น เราน้ำลายไหลเพราะการใช้ Snapdragon 801 ของโทรศัพท์ที่มีจอแสดงผล 1080p ขนาด 5.5 นิ้ว รวมถึงความร่วมมือที่น่าดึงดูดอย่างยิ่งกับสตาร์ทอัพน้องใหม่ Cyanogen Inc. (ซึ่งเป็นกลุ่มผู้ชื่นชอบ Android มาก ตื่นเต้นเนื่องจากความนิยมของ CyanogenMod) จากนั้น OnePlus ก็ทิ้งระเบิดครั้งใหญ่ที่สุดให้กับพวกเราทุกคน - ราคาเริ่มต้นที่ 299 ดอลลาร์ มีโทรศัพท์อีกเครื่องเดียวเท่านั้นที่ทำให้ฉันประหลาดใจอย่างแท้จริงในเรื่องความคุ้มค่า นั่นคือ Nexus 5 และ
แต่แล้ว OnePlus ก็สร้าง ชุดของการตัดสินใจ แม้ว่าบางอันจะสมเหตุสมผลทางเศรษฐกิจ แต่ก็ทำลายแรงผลักดันให้กับแบรนด์ในหมู่ผู้ที่ชื่นชอบ Android ประการแรกเป็นการโต้เถียงเกี่ยวกับระบบการเชิญ จากนั้นก็มีโฆษณาที่เป็นข้อโต้แย้งและ หลุดออกไปพร้อมกับไซยาโนเจน, แล้ว บริษัทได้รับความเกลียดชังจากเรื่องนี้ โอเปิ้ล 2 ปล่อยวางในสายตาใครหลายๆคน ล้มเหลวในการใช้ชีวิต เป็นชื่อเล่นว่า "Flagship Killer" และ ในที่สุด นั่นลูกเลี้ยงผมแดง OnePlus X สมาร์ทโฟนที่เพิ่งได้รับมา แอนดรอยด์มาร์ชแมลโลว์ ก ไม่กี่วันที่ผ่านมา.
ไปข้างหน้าสองก้าว ถอยหลังหนึ่งก้าว
สำหรับเครดิตของ OnePlus บริษัทสามารถทำได้ จุดประกายการโฆษณาอีกครั้ง ล้อมรอบผลิตภัณฑ์ของตนด้วย โอเปิ้ล 3. ในครั้งนี้ OnePlus ไม่เพียงแต่ทำให้แน่ใจว่าจะจัดการกับคำร้องทุกข์ที่ผู้ตรวจสอบและผู้ใช้มีต่อ OnePlus 2 จำนวนมากเท่านั้น แต่ยังเหนือกว่าใน จัดการกับข้อร้องเรียนการตรวจสอบตั้งแต่เนิ่นๆ และ ปล่อยซอร์สโค้ด สำหรับนักพัฒนา ROM แบบกำหนดเอง เป็นอีกครั้งที่ OnePlus ได้สร้างผลิตภัณฑ์ที่น่าสนใจพอที่จะให้ฉันพิจารณาอีกครั้งเพื่อรอการเปิดตัวโทรศัพท์ Nexus รุ่นถัดไป และให้พนักงานของเราหลายคนซื้อหนึ่งเครื่อง (หรือสอง) เพื่อตนเอง แต่มีปัญหาหนึ่งที่พนักงานของเราบางคนระมัดระวัง นั่นก็คือซอฟต์แวร์ เราค่อนข้างจะแตกแยกเกี่ยวกับวิธีการใช้โทรศัพท์ของเรา - พวกเราบางคนใช้ชีวิตแบบตกเลือดและมี ROM แบบกำหนดเองแบบแฟลช Cyanogenmod ที่ไม่เป็นทางการของ Sultanxda 13 สำหรับ OnePlus 3 ในขณะที่บางรุ่นใช้เฟิร์มแวร์หุ้นบนอุปกรณ์ของตนเท่านั้น ในบรรดาพนักงานของเรา มีความขัดแย้งบางประการเกี่ยวกับคุณภาพของเกมที่เพิ่งเปิดตัว การสร้างชุมชน OxygenOS 3.5 (ซึ่งเราจะสำรวจในบทความหน้า) แต่มีประเด็นหนึ่งที่เราทุกคนเห็นพ้องต้องกันคือความงุนงงอย่างยิ่งที่ OnePlus ใช้ HTTP เพื่อส่ง IMEI ของคุณในขณะที่ตรวจสอบการอัปเดตซอฟต์แวร์
ใช่คุณอ่านถูกต้องแล้ว IMEI ของคุณซึ่งเป็นหมายเลขนั้น ระบุโทรศัพท์ของคุณโดยเฉพาะ, ถูกส่งไปแล้ว ไม่ได้เข้ารหัส ไปยังเซิร์ฟเวอร์ของ OnePlus เมื่อโทรศัพท์ของคุณตรวจสอบการอัปเดต (โดยมีหรือไม่มีการป้อนข้อมูลจากผู้ใช้) ซึ่งหมายความว่าใครก็ตามที่กำลังฟังการรับส่งข้อมูลเครือข่ายในเครือข่ายของคุณ (หรือที่คุณไม่รู้จักในขณะที่คุณกำลังท่องเว็บของเรา ฟอรัมในขณะที่เชื่อมต่อกับฮอตสปอตสาธารณะ) สามารถคว้า IMEI ของคุณได้หากโทรศัพท์ของคุณ (หรือคุณ) ตัดสินใจว่าถึงเวลาที่ต้องตรวจสอบ อัปเดต.
สมาชิกทีม XDA Portal และอดีตผู้ดูแลฟอรัม b1nnyค้นพบปัญหานี้โดย ขัดขวางการรับส่งข้อมูลของอุปกรณ์ของเขา โดยใช้ มิทม์พร็อกซี และโพสต์เกี่ยวกับเรื่องนี้ในฟอรั่ม OnePlus ย้อนกลับไปเมื่อวันที่ 4 กรกฎาคม. หลังจากขุดลึกลงไปอีกว่าเกิดอะไรขึ้นเมื่อ OnePlus 3 ของเขากำลังตรวจสอบการอัปเดต b1nny พบว่า OnePlus ไม่จำเป็นต้องมี IMEI ที่ถูกต้อง เพื่อเสนอการอัปเดตให้กับผู้ใช้ เพื่อพิสูจน์สิ่งนี้ b1nny ใช้ a แอป Chrome ชื่อบุรุษไปรษณีย์ เพื่อส่งคำขอ HTTP POST ไปยังเซิร์ฟเวอร์อัปเดตของ OnePlus และแก้ไข IMEI ของเขาด้วยข้อมูลขยะ เซิฟเวอร์ ยังคงส่งคืนแพ็คเกจการอัปเดตตามที่คาดไว้. b1nny ค้นพบอื่นๆ เกี่ยวกับกระบวนการ OTA (เช่น ข้อเท็จจริงที่ว่าเซิร์ฟเวอร์การอัพเดทได้รับการแชร์ด้วย Oppo) แต่ส่วนที่น่ากังวลที่สุดคือความจริงที่ว่าตัวระบุอุปกรณ์ที่ไม่ซ้ำกันนี้ถูกส่งผ่านไป HTTP
ยังไม่มีการแก้ไขในสายตา
หลังจากพบปัญหาด้านความปลอดภัย b1nny ได้ตรวจสอบสถานะและพยายามติดต่อทั้งสองคน ผู้ดูแลฟอรัม OnePlus และ ตัวแทนฝ่ายบริการลูกค้า ซึ่งอาจส่งต่อปัญหาไปยังทีมที่เกี่ยวข้องได้ ผู้ดำเนินรายการอ้างว่าจะมีการส่งต่อการออก อย่างไรก็ตามเขาไม่ได้รับการยืนยันใด ๆ ว่าปัญหากำลังถูกตรวจสอบอยู่ เมื่อปัญหานี้ได้รับความสนใจจาก Redditors ใน subreddit /r/Android ในตอนแรก หลายคนกังวล แต่ก็มั่นใจว่าปัญหาจะได้รับการแก้ไขอย่างรวดเร็ว ที่พอร์ทัล XDA เราก็เชื่อเช่นกันว่าวิธี HTTP POST ที่ไม่ปลอดภัยซึ่งใช้ในการส่ง Ping ไปยังเซิร์ฟเวอร์ OTA เพื่อรับการอัปเดตจะได้รับการแก้ไขในที่สุด การค้นพบปัญหาครั้งแรกเกิดขึ้นใน OxygenOS เวอร์ชัน 3.2.1 ของระบบปฏิบัติการ (แม้ว่าอาจมีอยู่ในเวอร์ชันก่อนหน้าก็ตาม อืม) แต่ b1nny ยืนยันกับเราเมื่อวานนี้ว่าปัญหายังคงมีอยู่ใน Oxygen OS เวอร์ชันเสถียรล่าสุด: เวอร์ชัน 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
อย่างไรก็ตาม ด้วยการเปิดตัวชุมชน OxygenOS 3.5 รุ่นล่าสุด เราอยากรู้ว่าปัญหายังคงมีอยู่หรือไม่ เราได้ติดต่อกับ OnePlus เกี่ยวกับปัญหานี้ และได้รับแจ้งจากโฆษกของบริษัทว่าปัญหานี้ได้รับการแก้ไขแล้วจริงๆ อย่างไรก็ตาม เรามีหนึ่งในสมาชิกพอร์ทัลของเราแฟลชชุมชนล่าสุดที่สร้างและใช้ mitmproxy เพื่อสกัดกั้นการรับส่งข้อมูลเครือข่ายของ OnePlus 3 ของเขา และทำให้เราประหลาดใจที่เราค้นพบว่า OxygenOS ยังคงส่ง IMEI ในคำขอ HTTP POST ไปยังเซิร์ฟเวอร์อัปเดต.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
แม้ว่าจะมีการยืนยันที่ชัดเจนว่าปัญหาได้รับการแก้ไขแล้วซึ่งทำให้เรากังวลอย่างมากที่ XDA มันไม่สมเหตุสมผลเลยที่ OnePlus จะใช้ HTTP เพื่อส่งคำขอไปยังเซิร์ฟเวอร์หากต้องการ ทำคือใช้ IMEI ของเราเพื่อวัตถุประสงค์ในการขุดข้อมูล จากนั้นพวกเขาก็สามารถทำได้อย่างปลอดภัยยิ่งขึ้น วิธี.
IMEI รั่วและคุณ
ไม่มีอะไร อย่างมีนัยสำคัญ อันตรายเกี่ยวกับ IMEI ของคุณรั่วไหลผ่านเครือข่ายสาธารณะ แม้ว่าอุปกรณ์จะระบุอุปกรณ์ของคุณโดยไม่ซ้ำกัน แต่ก็มีตัวระบุเฉพาะอื่นๆ ที่อาจถูกนำไปใช้ในทางที่ผิดได้ แอปพลิเคชันสามารถขอสิทธิ์เข้าถึงได้ เพื่อดู IMEI ของอุปกรณ์ของคุณได้อย่างง่ายดาย แล้วปัญหาคืออะไร? ขึ้นอยู่กับสถานที่ที่คุณอาศัยอยู่ IMEI ของคุณอาจใช้เพื่อติดตามคุณโดยรัฐบาลหรือแฮ็กเกอร์ที่เห็นได้ชัดว่าสนใจคุณมากพอ แต่สิ่งเหล่านี้ไม่ได้เป็นปัญหาสำหรับผู้ใช้ทั่วไป
ปัญหาที่ใหญ่ที่สุดที่อาจเกิดขึ้นอาจเป็นการใช้ IMEI ของคุณอย่างผิดกฎหมาย ซึ่งรวมถึงแต่ไม่จำกัดเพียง การขึ้นบัญชีดำ IMEI ของคุณ หรือการโคลน IMEI เพื่อใช้กับโทรศัพท์ในตลาดมืด หากเกิดเหตุการณ์ใดเหตุการณ์หนึ่งขึ้น การขุดออกจากหลุมนี้อาจเป็นความไม่สะดวกอย่างมาก ปัญหาที่อาจเกิดขึ้นอีกประการหนึ่งคือเกี่ยวกับแอปพลิเคชันที่ยังคงใช้ IMEI ของคุณเป็นตัวระบุ ตัวอย่างเช่น Whatsapp เคยใช้ไฟล์ MD5-hashed เวอร์ชันกลับด้าน ของ IMEI ของคุณเป็นรหัสผ่านของบัญชีของคุณ หลังจากตรวจดูออนไลน์แล้ว เว็บไซต์ลึกลับบางแห่งอ้างว่าสามารถแฮ็กบัญชี Whatsapp โดยใช้หมายเลขโทรศัพท์และ IMEI ได้ แต่ฉันไม่สามารถยืนยันได้
นิ่ง, สิ่งสำคัญคือต้องปกป้องข้อมูลใด ๆ ที่ระบุตัวคุณหรืออุปกรณ์ของคุณโดยไม่ซ้ำกัน. หากปัญหาความเป็นส่วนตัวมีความสำคัญสำหรับคุณ แนวทางปฏิบัติของ OnePlus ก็น่าจะเกี่ยวข้องด้วย เราหวังว่าบทความนี้จะมีไว้เพื่อแจ้งให้คุณทราบเกี่ยวกับผลกระทบด้านความปลอดภัยที่อาจเกิดขึ้นเบื้องหลังสิ่งนี้ ฝึกฝนและนำสถานการณ์นี้มาสู่ความสนใจของ OnePlus (อีกครั้ง) เพื่อที่จะได้แก้ไขได้ ทันที