Oneplus

Министерството на отбраната на Литва призовава гражданите си да не купуват китайски смартфони, а тези, които имат такива – да ги „изхвърлят“.

Причина за това е изявлението на литовския държавен орган за киберсигурност, че водещ модел смартфон на компания Xiaomi, има вградена способност да открива и цензурира фрази като „Свободен Тибет“, „Да живее независимостта на Тайван“ или „Движение за демокрация“.

Общо 449 термина вероятно са цензурирани от системните приложения на устройства на Xiaomi, включително интернет браузъра по подразбиране. Смята се, че списъкът се актуализира постоянно.

В официално изявление, изпратено до Ройтерс на 22 септември 2021 г.,  Xiaomi  отрече категорично да е цензурирала потребители в ЕС или да има планове да го прави, Интересен факт обаче е, че не беше отречено наличието такава възможност в продуктите на компанията.

Твърди се, че тази функция е изключена за потребителите на Xiaomi Mi 10T 5G от Европейския съюз, но въпреки това все още съществува.

Обвиненията към Xiaomi във връзка с нарушаване на поверителността не са нови, нито изненадващи. Разследване на Forbes от преди една година разкри, че китайските телефони шпионират потребителите си.  Дупка в сигурността беше открита и в Huawei P40 5G. И двете компании тогава отрекоха твърденията.

Последните разкрития на литовския държавен орган за киберсигурност обхващат още един модел смартфон от китайски производител – OnePlus 8T 5G.

Гражданите на ЕС се ползват от комфорта, който им осигурява Общия регламент за защита на данните на Европейския съюз (GDPR) – всички производители, които продават продуктите си на територията на Съюза са длъжни да го спазват.

Ако се стигне до налагане на санкции, подобни на тези за Huawei, за още китайски марки смартфони, на пазара (поне в ЕС и САЩ) ще отсъстват истински привлекателни бюджетни алтернативи.

Последен ъпдейт на 28 юни 2018 в 11:48 ч.

Уязвимост, която дава възможност за установяване на пълен административен контрол над телефонът ви, беше разкрита от анализаторите „Edge Security“. Броят уязвими устройства е ограничен до OnePlus 6, чийто буутлоудър позволява създаването на произволен или модифициран boot image, дори и bootloader да е заключен.

Какво е bootloader?

Bootloader е част от вграденият фърмуер и възможността да се заключва не позволява на потребителите да заменят или променят операционната система на телефона с несертифициран ROM. Заключването на bootloader подсигурява стартирането на устройството с операционна система, която е сертифицирана от производителя.

Изследователят по информационна сигурност Джейсън Доненфелд от „Edge Security“ открива, че bootloader на OnePlus 6 не е изцяло заключен. Това от своя страна позволява на всеки да флашва всякакъв вид boot image в устройството, което дава възможност да се установи пълен контрол над вашият телефон.

В кратка видео демонстрация Доненфелд показва как е възможно злонамерено лице, имащо физически достъп до OnePlus 6 mode, да буутне зловреден image само използвайки командата fastboot на работния инструмент ADB, който е част от фреймуърка за разработване на приложения. Тази операция дава възможност на лицето да придобие пълен контрол върху устройството и неговото съдържание.

The #OnePlus6 allows booting arbitrary images with `fastboot boot image.img`, even when the bootloader is completely locked and in secure mode. pic.twitter.com/MaP0bgEXXd

— Edge Security (@EdgeSecurity) 9 юни 2018 г.

Как се експлоатира уязвимостта?

Най-фрапиращото в случая е, че дори няма нужда опцията USB debugging да бъде включена, което обикновено се изисква, за да си “поиграете” с някои смартфони. Всичко което трябва да направи атакуващият е да включи OnePlus 6 на жертвата в компютърa си с кабел, да рестартира телефона във Fastboot режим и да прехвърли модифицирания boot image.

За да извърши това нападателят трябва да има физически и неконтролиран достъп до въпросния OnePlus 6 само за няколко минути.

От OnePlus приеха това като проблем, заявявайки че сигурността е много важна за тях и обещаха съвсем скоро да пуснат ъпдейт на софтуера, който да реши възникналия проблем.

А междувременно ние вие препоръчваме да не изпускате от поглед вашият OnePlus 6, докато тази уязвимост не бъде покрита.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.