OnePlus 6 önyükleyicisinde ciddi bir güvenlik açığı keşfedildi. Fiziksel erişim gerektiren bu istismar, tüm güvenlik önlemlerini atlıyor.
Güncelleme 09.06.2018 14:31 CT: OnePlus bu konuyla ilgili bir açıklama yayınladı.
Güncelleme 15.06.2018 10:47: OnePlus piyasaya sürülmeye başladı Oksijen OS 5.1.7 Bootloader güvenlik açığına yönelik bir düzeltme ile.
OnePlus 6 şuydu: resmileştirildi geçen ayın ortasında. Cihaz, forumlarımızda tüketicilere ve geliştiricilere daha yeni yeni ulaşmaya başladı ve şimdiden yapılan çalışmaları duyuyoruz. Bir TWRP'nin resmi yapısı zaten mevcut ve çalışmalar devam ediyor resmi olmayan bir LineageOS 15.1 GSI'da güzel. OnePlus 6, cihazla yalnızca kişisel kullanımları için ilgilenen kullanıcıların ilgisini çekmiyor. Ancak güvenlik araştırmacıları, neler yapabileceklerini görmek için cihaza daha yakından bakmaya başladıkça projeler bulmak.
Böyle bir araştırmacı, Jason Donenfeld, başkanı Kenar Güvenliği LLC, XDA'da şu şekilde de bilinir: zx2c4, cihazda, keyfi olarak değiştirilmiş herhangi bir görüntüyü önyüklemesine izin veren bir güvenlik açığı keşfetti
Bu güvenlik açığı, fiziksel erişimi olan ve bilgisayara bağlı bağlantısı olan bir saldırganın cihazın kontrolünü ele geçirmesine olanak tanır. Önyükleme görüntüsü varsayılan olarak güvenli olmayan ADB ve kök olarak ADB ile değiştirilirse, fiziksel erişimi olan bir saldırgan cihaz üzerinde tam kontrole sahip olacak. Kötü şöhretlinin aksine "arka kapı" (gerçekte bir arka kapı değildi) OnePlus 5T'de bu güvenlik açığından yararlanmak, kullanıcının USB Hata Ayıklama'yı zaten etkinleştirmiş olmasını gerektirmez. Bu, bir saldırganın OnePlus 6'daki bu güvenlik açığından yararlanması durumunda tam erişim elde etmek için yalnızca cihaza erişmesi gerektiği (başka bir şey yapmaması) gerektiği anlamına gelir.
Hata, OnePlus'ın birden fazla mühendisine bildirildi ve Jason Donenfeld, güvenlik ekibinin bir üyesinin hata yaptığını doğruladı. raporu kabul etti. Daha fazla bilgi geldikçe bu konunun takipçisi olacağız. Bu sorunun çözülebilmesi için önyükleyici için hızlı bir şekilde bir yama yayınlanacağını umuyoruz.
Güncelleme 1: OnePlus Beyanı
OnePlus konuyla ilgili bir açıklama yaptı:
"OnePlus'ta güvenliği ciddiye alıyoruz. Güvenlik araştırmacısıyla iletişim halindeyiz ve kısa süre içinde bir yazılım güncellemesi yayınlanacak." - OnePlus sözcüsü
Bu konuyu takip etmeye devam edeceğiz ve bir yazılım güncellemesi mevcut olduğunda sizi bilgilendireceğiz.
Güncelleme 2: Düzeltme
OnePlus, 15 Haziran'da OnePlus 6 için OxygenOS 5.1.7'yi piyasaya sürmeye başladı. bir düzeltme Bootloader güvenlik açığı için.
Bu makale, bir saldırganın bu güvenlik açığından yararlanabilmesi için cihaza fiziksel erişimin yanı sıra bir PC ile bağlı bağlantıya da ihtiyacı olduğunu yansıtacak şekilde güncellenmiştir.