OxygenOS çalıştıran OnePlus telefonlar, telefonunuz bir güncellemeyi kontrol ederken telefonunuzun IMEI'sini sızdırıyor. Telefon güvenli olmayan bir HTTP POST isteği kullanıyor.
Bir artı bir tüketicilerin amiral gemisi deneyimi için 600 dolardan fazla ödeme yapmasına gerek olmadığını kanıtlayan ilk Android akıllı telefonlardan biriydi. Başka bir deyişle, daha düşük bir fiyat noktasında bile asla yerleşme kalitesiz bir ürün satın almak için.
OnePlus One'ın teknik özellikleriyle ilgili ortaya çıkan heyecanı hala hatırlayabiliyorum; şirket, sızıntılar söz konusu olduğunda Android meraklılarının sergilediği fanatizmden yararlandı. OnePlus, resmi lansmandan birkaç hafta önce telefonun özelliklerini yavaş yavaş tek tek açıklamaya karar verdi ve işe yaradı.
O zamanlar, telefonun 5,5" 1080p ekranlı Snapdragon 801'i kullanmasının yanı sıra yeni başlayan Cyanogen Inc. ile olan son derece cazip ortaklığın etkisiyle ağzımız sulandı. (aralarında Android meraklıları da vardı) çok CyanogenMod'un popülaritesi nedeniyle heyecanlandım). Ve sonra OnePlus hepimize en büyük bombayı attı: 299 dolarlık başlangıç fiyatı. Maliyet performansı açısından beni gerçekten şaşırtan tek telefon Nexus 5 ve
Ama sonra OnePlus bir bir dizi karar Bazıları ekonomik olarak haklı olmasına rağmen, bu durum markanın Android meraklıları arasındaki ivmesini bir miktar yok etti. Önce davet sistemiyle ilgili tartışmalar yaşandı, ardından tartışmalı reklamlar ve reklamlar geldi. Cyanogen ile aramız bozuldu, Daha sonra şirket bir miktar nefret aldı OnePlus 2 birçok insanın gözünde bunu serbest bırakın yaşayamadım "Amiral Gemisi Katili" lakabıyla ve Sonunda kızıl saçlı üvey çocuk var OnePlusX henüz yeni alınmış akıllı telefon Android Hatmi A birkaç gün önce.
İki adım ileri, bir adım geri
OnePlus'ın takdirine göre şirket şunu başardı: heyecanı yeniden alevlendirmek ürünlerini çevreleyen OnePlus 3. Bu sefer OnePlus, incelemecilerin ve kullanıcıların OnePlus 2'ye karşı yaşadığı birçok şikayeti ele almakla kalmadı, hatta daha da ileri gitti. erken inceleme şikayetlerinin ele alınması Ve kaynak kodunu yayınlama özel ROM geliştiricileri için. OnePlus bir kez daha, bir sonraki Nexus telefonunun piyasaya sürülmesini beklemeyi yeniden düşünmemi ve çalışanlarımızdan birkaçının bir tane satın almasını sağlayacak kadar ilgi çekici bir ürün yarattı (ya da iki) kendileri için. Ancak bazı personelimizin ihtiyatlı olduğu bir konu var: yazılım. Telefonlarımızı nasıl kullandığımız konusunda oldukça bölünmüş durumdayız; bazılarımız son teknolojiyle yaşıyor ve özel ROM'ları flashlıyor. sultanxda'nın resmi olmayan Cyanogenmod 13'ü OnePlus 3 için diğerleri cihazlarında yalnızca stok üretici yazılımını çalıştırıyor. Çalışanlarımız arasında, yakın zamanda piyasaya sürülen içeriğin kalitesi konusunda bazı anlaşmazlıklar var. OxygenOS 3.5 topluluk yapısı (bunu gelecek bir makalede inceleyeceğiz), ancak hepimizin üzerinde hemfikir olduğu bir konu var: OnePlus'ın yazılım güncellemelerini kontrol ederken IMEI'nizi iletmek için HTTP'yi kullanır.
Evet, doğru okudun. IMEI'niz, numaranız telefonunuzu benzersiz şekilde tanımlar, gönderildi şifrelenmemiş Telefonunuz bir güncelleme olup olmadığını kontrol ettiğinde (kullanıcı girişi olsun veya olmasın) OnePlus sunucularına. Bu, ağınızdaki ağ trafiğini dinleyen herhangi birinin (veya siz bizim haberimizde gezinirken sizin haberiniz olmadan) Telefonunuz (veya siz) bir IMEI olup olmadığını kontrol etme zamanının geldiğine karar verirse, halka açık bir erişim noktasına bağlıyken forumlar) IMEI'nizi alabilir. güncelleme.
XDA Portal Ekibi üyesi ve eski Forum Moderatörü, b1nny, sorunu şu kişi keşfetti: cihazının trafiğini ele geçirmek kullanarak mitmproxy ve bu konuyu OnePlus forumlarında paylaştım 4 Temmuz'da geri döndüm. B1nny, OnePlus 3'ü bir güncellemeyi kontrol ederken neler olup bittiğini biraz daha araştırdıktan sonra, OnePlus'ın geçerli bir IMEI gerektirmez kullanıcıya bir güncelleme sunmak. Bunu kanıtlamak için b1nny bir Postman adlı Chrome uygulaması OnePlus'ın güncelleme sunucusuna bir HTTP POST isteği göndermek ve IMEI'sini çöp verileriyle düzenlemek için. Sunucu yine de güncelleme paketini beklendiği gibi döndürdü. b1nny, OTA süreciyle ilgili başka keşifler de yaptı (güncelleme sunucularının OTA ile paylaşılması gibi) Oppo), ancak en endişe verici kısım bu benzersiz cihaz tanımlayıcının Oppo üzerinden iletilmesiydi. HTTP.
Görünürde Henüz Bir Düzeltme Yok
Güvenlik sorununu keşfettikten sonra b1nny gerekli incelemeyi yaptı ve her ikisiyle de iletişime geçmeye çalıştı. OnePlus forum moderatörleri Ve müşteri servisi temsilcileri Sorunu zincirin yukarısındaki ilgili ekiplere iletebilecek kişi. Bir moderatör, yayınlanan konunun iletileceğini iddia etti; ancak sorunun araştırıldığına dair herhangi bir onay alamadı. Sorun ilk olarak /r/Android alt dizini üzerinden Reddit kullanıcılarının dikkatine sunulduğunda birçok kişi endişeliydi ancak sorunun hızlı bir şekilde çözüleceğinden emindi. XDA Portalında biz de, bir güncelleme için OTA sunucusuna ping göndermek için kullanılan güvenli olmayan HTTP POST yönteminin eninde sonunda düzeltileceğine inanıyorduk. Sorunun ilk keşfi işletim sisteminin OxygenOS 3.2.1 sürümündeydi (gerçi önceki sürümlerde de mevcut olabilirdi) peki), ancak b1nny dün bizimle sorunun Oxygen OS'nin en son kararlı sürümünde hala devam ettiğini doğruladı: sürüm 3.2.4.
POST:User-agent: UA/ONEPLUS A3003/XXX/OnePlus3Oxygen_16.A.13_GLO_013_1608061823/V1.0.0_20150407
Content-Type: text/plain; charset=UTF-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3003","ota_version":"OnePlus3Oxygen_16.A.13_GLO_013_1608061823","imei":"XXX","mode":"0","type":"1","language":"en","beta":"0","isOnePlus":"1"}
ANSWER:
Server: nginx
Date: Wed, 24 Aug 2016 18:20:24 GMT
Content-Type: application/json; charset=UTF-8
Connection: keep-alive
X-Server-ID: hz0231
No content
Ancak OxygenOS 3.5 topluluk yapısının son sürümüyle birlikte sorunun devam edip etmediğini bir kez daha merak ettik. Bu sorunla ilgili olarak OnePlus'a ulaştık ve şirket sözcüsü bize sorunun gerçekten yamalandığını söyledi. Bununla birlikte, portal üyelerimizden birinin en son topluluk yapısını göstermesini ve OnePlus 3'ün ağ trafiğini engellemek için mitmproxy kullanmasını sağladık ve şaşırtıcı bir şekilde şunu keşfettik: OxygenOS, HTTP POST isteğinde hâlâ güncelleme sunucusuna bir IMEI gönderiyordu.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1.User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Bu, sorunun çözüldüğüne dair açıkça teyit edilmesine rağmen XDA olarak bizi derinden endişelendiriyor. Tek istedikleri şey OnePlus'ın sunucularına istek göndermek için HTTP kullanmasının bir anlamı yok Yapacakları şey, IMEI'mizi veri madenciliği amacıyla kullanmaksa, muhtemelen bunu çok daha güvenli bir şekilde yapabilirler. yöntem.
IMEI Sızıntıları ve Siz
Hiçbir şey yok esasen IMEI'nizin halka açık bir ağ üzerinden sızması tehlikelidir. Cihazınızı benzersiz bir şekilde tanımlamasına rağmen, kötü niyetli olarak kullanılabilecek başka benzersiz tanımlayıcılar da vardır. Uygulamalar erişim talebinde bulunabilir Cihazınızın IMEI'sini oldukça kolay bir şekilde görmek için. Peki sorun nedir? Nerede yaşadığınıza bağlı olarak IMEI'niz hükümet veya sizinle yeterince ilgilenen bir bilgisayar korsanı tarafından sizi takip etmek için kullanılabilir. Ancak bunlar ortalama bir kullanıcı için gerçekten endişe verici değil.
En büyük potansiyel sorun, IMEI'nizin yasa dışı kullanımı olabilir: IMEI'nizin kara listeye alınması veya IMEI'nin karaborsa telefonda kullanılmak üzere klonlanması dahil ancak bunlarla sınırlı olmamak üzere. Her iki senaryo da gerçekleşirse, kendinizi bu delikten çıkarmak büyük bir sıkıntı olabilir. Bir diğer potansiyel sorun ise IMEI'nizi hala tanımlayıcı olarak kullanan uygulamalarla ilgilidir. Mesela Whatsapp eskiden bir MD5-karma, ters versiyon IMEI'nizi hesabınızın şifresi olarak kullanın. İnternette araştırdıktan sonra, bazı şaibeli web sitelerinin telefon numarası ve IMEI kullanarak Whatsapp hesaplarını hackleyebileceklerini iddia ettiklerini gördüm, ancak bunları doğrulayamıyorum.
Hala, sizi veya cihazlarınızı benzersiz şekilde tanımlayan bilgilerin korunması önemlidir. Gizlilik sorunları sizin için önemliyse, OnePlus'ın bu uygulaması endişe verici olmalıdır. Bu makalenin sizi bu durumun ardındaki potansiyel güvenlik sonuçları hakkında bilgilendirmeye hizmet ettiğini umuyoruz. pratik yapmak ve düzeltilebilmesi için bu durumu (bir kez daha) OnePlus'ın dikkatine sunmak derhal.