У завантажувачі OnePlus 6 виявлено серйозну вразливість. Цей експлойт, який потребує фізичного доступу, обходить усі заходи безпеки.
Оновлення 09.06.18 14:31 за київським часом: OnePlus випустив заяву щодо цієї теми.
Оновлення 15.06.18 о 10:47: OnePlus почав розгортатися OxygenOS 5.1.7 з виправленням уразливості завантажувача.
OnePlus 6 був зроблено офіційно в середині минулого місяця. Пристрій лише нещодавно почав потрапляти в руки споживачів і розробників на наших форумах, і ми вже чуємо про роботу, яка виконується. Ан офіційна збірка TWRP вже доступний і робота триває чудово на неофіційній LineageOS 15.1 GSI. OnePlus 6 привертає увагу не лише користувачів, які цікавляться пристроєм для особистого користування однак, оскільки дослідники безпеки починають уважніше дивитися на пристрій, щоб побачити, що вони можуть знайти.
Один із таких дослідників, Джейсон Доненфельд, президент Edge Security LLC, також відомий на XDA як zx2c4, виявив уразливість на пристрої, яка дозволяє йому завантажувати будь-який довільно змінений образ, який
обходить заходи захисту завантажувача (наприклад, заблокований завантажувач). (Для використання вразливості потрібен фізичний доступ до пристрою.)Ця вразливість дозволяє зловмиснику з фізичним доступом і прив’язаним до ПК контролювати пристрій. Якщо завантажувальний образ змінено з незахищеним ADB і ADB як root за замовчуванням, тоді зловмисник із фізичним доступом матиме повний контроль над пристроєм. На відміну від сумнозвісного "задні двері" (який насправді не був бекдором) на OnePlus 5T, використання цієї вразливості не потребує від користувача вже ввімкненої налагодження USB. Це означає, що зловмиснику потрібно лише заволодіти пристроєм — і нічого більше — щоб отримати до нього повний доступ, якщо він скористається цією вразливістю на OnePlus 6.
Про помилку було повідомлено багатьом інженерам OnePlus, і Джейсон Доненфельд підтвердив, що член команди безпеки визнав звіт. Ми будемо стежити за цією справою, коли буде доступна додаткова інформація. Ми сподіваємося, що патч для завантажувача буде швидко випущено, щоб цю проблему можна було вирішити.
Оновлення 1: Заява OnePlus
OnePlus зробив заяву з цього приводу:
«Ми серйозно ставимося до безпеки в OnePlus. Ми підтримуємо зв’язок із дослідником безпеки, і незабаром буде випущено оновлення програмного забезпечення», – речник OnePlus.
Ми продовжуватимемо стежити за цією темою та повідомимо вас, щойно буде доступне оновлення програмного забезпечення.
Оновлення 2: виправлення
15 червня OnePlus розпочав розгортання OxygenOS 5.1.7 для OnePlus 6 із виправлення для уразливості завантажувача.
Цю статтю оновлено, щоб відобразити, що для використання вразливості зловмиснику потрібен фізичний доступ до пристрою, а також підключення до комп’ютера через модем.