بحث أمني جديد يكشف أن جميع أجهزة OnePlus معرضة للهجمات التي تم تقليل تصنيفها

في 26 يناير 2017 ، أبلغت Aleph Research OnePlus بأربع نقاط ضعف مختلفة شعروا أنها بحاجة إلى تصحيح. تم تمييز اثنين من هذه الحالات على أنها حرجة (CVE-2017-5948 و CVE-2017-8850) في حين تم تمييز شدتها على أنها مرتفعة (CVE-2017-8851 & CVE-2016-10370). قام الفريق بالإبلاغ عن ذلك إلى OnePlus بطريقة مسؤولة ، وبهذا جاء الموعد النهائي للإفصاح لمدة 90 يومًا. لقد ذهبت شركة Aleph Research إلى أبعد من ذلك حتى 14 يومًا ، لكنهم ما زالوا بلا مثيل.

الثغرات المعنية ممكنة على واحد على الأقل من كل هاتف ذكي أنتجته OnePlus. لذلك ، إذا كان لديك OnePlus One أو OnePlus 2 أو OnePlus 3 أو OnePlus 3T أو OnePlus X ، فهذا يعني أن جهازك عرضة لواحدة من هذه الهجمات على الأقل. هذا يفترض أنك تقوم بتشغيل إما OxygenOS أو HydrogenOS ، وهما البرنامجان الثابتان المسؤولان عن OnePlus. يستهدف الهجوم نقاط الضعف في كيفية قبول الهواتف تحديثات OTA.

يكون ذلك ممكنًا عن طريق هجوم "رجل في الوسط" ، أو ببساطة عند تهميش تحديث OTA عبر الاسترداد. ومع ذلك ، تجدر الإشارة إلى أن OnePlus 3 و OnePlus 3T غير عرضة لهذا المتجه الهجوم الجانبي بافتراض تمكين بدء التشغيل الآمن (Full Disk Encryption (FDE) بأوراق اعتماد المستخدم). هذه الثغرات الأمنية تمكن المهاجم من تقليل إصدار OxygenOS أو HydrogenOS. لذلك بغض النظر عن تصحيحات الأمان الجديدة التي يمتلكها جهاز OnePlus الخاص بك ، يمكن تخفيض تصنيف البرنامج بسهولة (بدون إعادة ضبط المصنع) ثم استغلاله من خلال ثغرة أمنية قديمة.

حتى أن هناك مشكلة في أن برنامج OnePlus X يمكن تثبيته بالفعل على OnePlus One بهذه الطريقة ، وبرنامج OnePlus One الجاري تثبيته على OnePlus X. كلتا الحالتين تؤدي إلى رفض الخدمة (DoS) والنتائج في bootloop حتى تتم إعادة ضبط المصنع. نأمل أن يتم تصحيح هذه المشكلات التي كشف عنها Aleph Research على الفور بعد أن أعلن فريق البحث عن عملهم.


المصدر: أبحاث ألف