Apresentado em meados de maio de 2018, o novo smartphone OnePlus 6 começa agora a chegar às mãos dos consumidores um pouco por todo o mundo. Este é o novo topo de gama ou flagship com a TWRP. Mais ainda, este OnePlus 6 está também a despertar a atenção e curiosidade dos peritos em segurança de várias empresas.
Vê ainda: Redmi 6 – o que esperar do novo smartphone da Xiaomi?
Incluem-se aqui entidades como a Edge Security que através da sua conta oficial na rede social Twitter deu a conhecer alguns factos preocupantes. Mais concretamente, foi o presidente da Edge Security LLC, Jason Donenfeld, que descobriu uma vulnerabilidade neste terminal Android.
Esta lacuna de segurança permite a um meliante, neste caso um programador mal intencionado, contornar as proteções do motor de arranque. Isto é, inviabilizar os mecanismos de segurança materializados na proteção do bootloader.
OnePlus 6 padece de uma vulnerabilidade de segurança
Perante esta lacuna, é possível instalar e arrancar (boot) com uma imagem personalizada do sistema. Algo que na prática daria controlo total do dispositivo ao programador. Ainda assim, para que tal aconteça, é necessário ter acesso físico ao OnePlus 6. Isto é, só com o smartphone na sua presença é que tal vulnerabilidade pode ser explorada. Posto isto, trata-se de uma situação com pouca expressão prática e de risco reduzido para a grande maioria dos utilizadores deste smartphone Android.
Na prática, esta vulnerabilidade permite ao atacante (com acesso físico ao terminal) e uma conexão ao PC, ter controlo do OnePlus 6. Para tal ele terá que instalar uma versão modificada da imagem de arranque do sistema Android.
O smartphone utiliza o sistema Android Oreo 8.1 da Google
Mais ainda, caso esta imagem (ficheiro de sistema) adulterada seja instalada com recurso a um pacote ADB inseguro. Aqui com permissões de raíz (root), então aí o programador terá acesso completo ao OnePlus 6.
Note-se ainda que o programador (atacante) não precisa de ter a depuração USB ativa. Precisa apenas de pegar no OnePlus 6 e instalar uma imagem do sistema por si adulterada. Isto é quanto baste para ganhar acesso total a este smartphone com a plataforma Android Oreo da Google.
A situação foi reportada a vários engenheiros da OnePlus, tendo a marca reconhecido a falha. A empresa está neste momento a trabalhar num patch, numa atualização para corrigir esta vulnerabilidade.
Assuntos relevantes na 4gnews:
Leitores 4gnews preferem o Xiaomi Mi 8 Explorer Edition ao OP 6
e Huawei P20 Pro já podem utilizar a TWRP
arrasou toda a concorrência no AnTuTu
via