Lielākajai daļai viedtālruņu ražotāju ir tendence atbrīvot drošības ielāpus katru mēnesi vai ik pēc pāris mēnešiem. Mēs zinām, ka dažreiz tālruņa atjaunināšana ir grūtība, bet, ja kādreiz būtu bijis labs iemesls, lai paliktu virs atjauninājumiem, tas būtu tāpēc: ir atrasta galvenā OnePlus Oxygenos ievainojamība, kas varētu apdraudēt daudz OnePlus lietotāju.
Ir atrasta galvenā OnePlus Oxygenos ievainojamība
Saskaņā ar kiberdrošības firmas Rapid7 ziņojumu, tā atklāja lielu neaizsargātību OnePlus Oxygenos mobilajā platformā. Ziņojumā apgalvots, ka tā ir “atļauja apiet neaizsargātību” un aptver vairākās OS versijās. Tas nozīmē, ka tas, iespējams, ietekmē vairākus OnePlus modeļus.
Rapid7 saka, “Jautājums izriet no fakta, ka jutīgi iekšējā satura nodrošinātāji ir pieejami bez atļaujas un ir neaizsargāti pret SQL injekciju.” Viņu ziņojums arī piebilst, “Balstoties uz mūsu analīzi, šo neaizsargātību varētu izmantot, lai apietu galveno Android Read_sms atļauju klusēt, lai klusētu lietotāju SMS datus bez viņu piekrišanas un pārtrauktu SMS balstītas MFA sistēmas.”
Bet kā tas notika? Kāpēc tas tika atklāts tikai tagad un ne agrāk? Izrādās, ka šī problēma varētu būt radusies no OnePlus, mainot akciju Android telefonijas paketi. Uzņēmums vēlējās ieviest papildu eksportētus satura nodrošinātājus, piemēram, PushMessageProvider, PushopProvider un ServiceNumberProvider. Tomēr šie pakalpojumu sniedzēji nedeklarēja rakstīšanas atļauju “Read_Sms”. Pēc noklusējuma tas atstāj to atvērtu jebkurai lietotnei, pat tiem, kuriem nav SMS atļaujas.
Pētnieki veica nelielu pārbaudi un apstiprināja ievainojamību. Tomēr viņu atklājumi bija ierobežoti ar OnePlus 8t un 10 Pro. Tas nenozīmē, ka citas OnePlus ierīces netiek ietekmētas. Tomēr mēs zinām, ka šie divi ir jutīgi.
OnePlus atbilde (vai tās trūkums)
Saskaņā ar Rapid7, šī neaizsargātība tika atklāta šī gada sākumā. Viņi maijā mēģināja sazināties ar OnePlus, lai dalītos ar saviem atklājumiem. Viņi pat mēģināja sasniegt septiņas atsevišķas reizes bez konkrētas reakcijas. Tas noveda pie tā, ka Rapid7 izlēma atklāt šo jautājumu publiski, pēc tam OnePlus to atzina. Uzņēmums saka, ka tas ir uzsācis izmeklēšanu par šo jautājumu.
Tātad, ko tas nozīmē OnePlus lietotājiem? Pagaidām nav daudz ko darīt, kamēr OnePlus novērš problēmu. Pa to laiku jūs varētu vēlēties samazināt lietotnes instalēšanu līdz minimumam vai vismaz pārliecināties, ka lejupielādētās lietotnes nāk no uzticamiem izdevējiem un veikaliem. Jūs arī varētu vēlēties pagaidām apsvērt iespēju pārslēgties no SMS balstīta 2FA.
