Ένας από τους παράγοντες που συμβάλλουν στην ασφάλεια των smartphone είναι ο κλειδωμένος bootloader που αποτρέπει το flashάρισμα και την κακόβουλη χρήση. Ένα κενό ασφαλείας που εντοπίστηκε στο OnePlus 6, επιτρέπει στο χρήστη να προσπερνά τον κλειδωμένο bootloader και να αποκτά τον πλήρη έλεγχο της συσκευής.
Θα πρέπει να τονίσουμε πως πολλοί χρήστες flashάρουν τις συσκευές τους για να μπορέσουν να περάσουν custom ROM images και να τις τροποποιήσουν σε όποιο βαθμό επιθυμούν. Αυτό είναι και ένα από τα χαρακτηριστικά του Android που το έκανε πιο δημοφιλές και συμπαθές στους καταναλωτές μιας και δεν τους περιορίζει αφού τους δίνει πλήρη ελευθερία στο “πείραγμα” της συσκευής τους.
Το κενό ασφαλείας στο OnePlus 6 έχει να κάνει με τη δυνατότητα που δίνει στο χρήστη να “προσπεράσει” το bootloader της συσκευής και να εγκαταστήσει οποιαδήποτε custom ROM επιθυμεί. Το σφάλμα αυτό εντοπίστηκε από τον ερευνητή και Πρόεδρο της Edge Security LLC, μέλος της XDA κοινότητας, ο οποίος τονίζει πως για να αποκτήση κάποιος πρόσβαση στη συσκευή χρειάζεται να την έχει ήδη στα χέρια του και να την έχει συνδέσει σε Η/Υ.
Η συσκευή γίνεται ευάλωτη και επιτρέπει σε όποιον θέλει να κάνει κακόβουλη χρήση να αποκτήσει τον πλήρη έλεγχό της. Για να γίνει αυτό χρειάζεται ένα image με ADB μη ασφαλές, έτσι ώστε να υπάρχει root πρόσβαση στο adb shell, αλλά και η ίδια η συσκευή στα χέρια του χρήστη. Το κενό ασφαλείας μπορεί να γίνει εμφανές ακόμα και χωρίς να είναι το “USB Debugging” ενεργοποιημένο, δίνοντας στο χρήστη πλήρη πρόσβαση στη συσκευή με πολύ εύκολο τρόπο.
Οι μηχανικοί λογισμικού της OnePlus είναι ήδη ενήμεροι με την εταιρεία να δηλώνει πως το θέμα της ασφάλειας είναι κάτι που λαμβάνεται σοβαρά υπ’ όψιν και για αυτό το λόγο σύντομα θα γίνει διαθέσιμη η αναβάθμιση που θα διορθώσει το πρόβλημα αυτό.
The #OnePlus6 allows booting arbitrary images with `fastboot boot image.img`, even when the bootloader is completely locked and in secure mode. pic.twitter.com/MaP0bgEXXd
— Edge Security (@EdgeSecurity) June 9, 2018
Ποιο κακόβουλο ( για εσένα και την συσκευή σου ) είναι όταν βάζεις custom rom στην συσκευή σου από άτομα – εταιρείες που ούτε γνωρίζεις και δεν μπορείς να ξέρεις τι ακριβός σου δίνουν … παρά αυτό που περιγράφεται εδώ, δηλαδή 1. να είσαι κάτοχος της συσκευής 2. Να την συνδέσεις σε pc για να έχεις πρόσβαση στο τηλέφωνο… έστω και με *μη κλειδωμένο bootloader
Σιγά μωρέ… Με 500€ έχεις το πιο τούμπανο κινητό της αγοράς, την ασφάλεια θα κοιτάξεις… Απλά για την ιστορία, αν το θέμα αφορούσε Apple ή Samsung θα είχατε γονατίσει το blog απο τα σχόλια. Τώρα ούτε λόγος! Τι σου κάνει το χαμηλό κόστος…
Ανακοίνωσαν ότι θα το διορθώσουν με security patch όσο το δυνατόν σύντομα…