Oneplus 6 с критична уязвимост в bootloader

Ако скоро сте си купили OnePlus 6 не го оставяйте без надзор!

Последен ъпдейт на 28 юни 2018 в 11:48 ч.

Уязвимост, която дава възможност за установяване на пълен административен контрол над телефонът ви, беше разкрита от анализаторите „Edge Security“. Броят уязвими устройства е ограничен до OnePlus 6, чийто буутлоудър позволява създаването на произволен или модифициран boot image, дори и bootloader да е заключен.

Какво е bootloader?

Bootloader е част от вграденият фърмуер и възможността да се заключва не позволява на потребителите да заменят или променят операционната система на телефона с несертифициран ROM. Заключването на bootloader подсигурява стартирането на устройството с операционна система, която е сертифицирана от производителя.

Изследователят по информационна сигурност Джейсън Доненфелд от „Edge Security“ открива, че bootloader на OnePlus 6 не е изцяло заключен. Това от своя страна позволява на всеки да флашва всякакъв вид boot image в устройството, което дава възможност да се установи пълен контрол над вашият телефон.

В кратка видео демонстрация Доненфелд показва как е възможно злонамерено лице, имащо физически достъп до OnePlus 6 mode, да буутне зловреден image само използвайки командата fastboot на работния инструмент ADB, който е част от фреймуърка за разработване на приложения. Тази операция дава възможност на лицето да придобие пълен контрол върху устройството и неговото съдържание.

Как се експлоатира уязвимостта?

Най-фрапиращото в случая е, че дори няма нужда опцията USB debugging да бъде включена, което обикновено се изисква, за да си “поиграете” с някои смартфони. Всичко което трябва да направи атакуващият е да включи OnePlus 6 на жертвата в компютърa си с кабел, да рестартира телефона във Fastboot режим и да прехвърли модифицирания boot image.

За да извърши това нападателят трябва да има физически и неконтролиран достъп до въпросния OnePlus 6 само за няколко минути.

От OnePlus приеха това като проблем, заявявайки че сигурността е много важна за тях и обещаха съвсем скоро да пуснат ъпдейт на софтуера, който да реши възникналия проблем.

А междувременно ние вие препоръчваме да не изпускате от поглед вашият OnePlus 6, докато тази уязвимост не бъде покрита.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Exit mobile version