Uusimmissa OnePlus -puhelimissa vakava tietoturva-aukko

Viestiketju alueella 'Uutisia lyhyesti' , aloittaja FlyingAntero, 14.11.2017.

  1. FlyingAntero

    FlyingAntero ɑ n d r o i d Tukijäsen Team Android

    Viestejä:
    1 722
    Rekisteröitynyt:
    17.10.2016
    Twitterissä Elliot Alderson nimellä esiintyvä henkilö on löytänyt OnePlus 3-, 3T- ja 5-puhelimista tietoturva-aukon, joka mahdollistaa puhelimen pääkäyttäjän oikeuksien haltuun ottamisen eli niin sanotun roottaamisen ilman käynnistyslataajan aukaisemista.

    Haavoittuvuus löydettiin puhelimeen esiasennetusta EngineerMode-sovelluksesta, jota käytetään laitteiston osien testaamiseen esimerkiksi huoltotoimenpiteiden yhteydessä. Toistaiseksi ei ole tiedossa, onko kyseistä tietoturva-aukkoa käytetty hyväksi käyttäjän tietämättä. Carl Pei kommentoi Twitterissä OnePlussan tutkivan asiaa.



    OnePlus left a backdoor in its devices capable of root access
     
    Viimeksi muokattu: 15.11.2017
    Juha Kokkonen, Asiantuntija ja Jahve3 tykkäävät tästä.
  2. FlyingAntero

    FlyingAntero ɑ n d r o i d Tukijäsen Team Android

    Viestejä:
    1 722
    Rekisteröitynyt:
    17.10.2016
    Jahve3 tykkää tästä.
  3. Agent_007

    Agent_007

    Viestejä:
    136
    Rekisteröitynyt:
    09.11.2016
    Ja vastaavia löytynee lähipäivinä lisää myös muiden SoC-valmistajien tuotteista, koska puhelinvalmistajat eivät jaksa tehdä kunnolla noita imagejaan, vaan luureissa on mitä ihmeellisempiä valmisasennettuja softia.
     
  4. Zyrppa

    Zyrppa

    Viestejä:
    184
    Rekisteröitynyt:
    20.10.2016
    OP3:ssa on myös joku EngineerMode.Specialtest. Ja muistaakseni ykkösessäki oli.
     
  5. FlyingAntero

    FlyingAntero ɑ n d r o i d Tukijäsen Team Android

    Viestejä:
    1 722
    Rekisteröitynyt:
    17.10.2016
    Voi olla mutta esimerkiksi tässä Qualcommin tapauksessa tietoturva-aukko on löydetty toistaiseksi vain OnePlus luureista. Tuo EngineerMode -sovellus itsessään ei vielä tarkoita, että puhelin olisi haavoittuvainen.

     
  6. runboy93

    runboy93

    Viestejä:
    208
    Rekisteröitynyt:
    01.08.2017
    Hyvä, että sentään löytävät. Muissa puhelimissa saattaa myös olla mutta ei tule tietoon.
     
  7. Asiantuntija

    Asiantuntija

    Viestejä:
    519
    Rekisteröitynyt:
    19.10.2016
    LineageOS:sta ei löydy tuota engineermodea. ps. aloituspostauksessa typo(Anderson)
     
    FlyingAntero tykkää tästä.
  8. runboy93

    runboy93

    Viestejä:
    208
    Rekisteröitynyt:
    01.08.2017
    What is EngineerMode?

    "While we don't see this as a major security issue, we understand that users may still have concerns and therefore we will remove the adb root function from EngineerMode in an upcoming OTA."

    :D

    What is EngineerMode?

    Aika paljon liikkuu dataa, tai ainakin tällä käyttäjällä.
     
    Viimeksi muokattu: 15.11.2017
  9. FlyingAntero

    FlyingAntero ɑ n d r o i d Tukijäsen Team Android

    Viestejä:
    1 722
    Rekisteröitynyt:
    17.10.2016
    AndroidCentral on kirjoittanut tapauksesta hyvän artikkelin:
    Qualcommin sovellus tosiaan löytyy useista puhelinmalleista eri valmistajilta mutta toistaiseksi niistä ei ole löydetty vastaavaa aukkoa:
    [ Vain rekisteröityneet käyttäjät näkevät Spoiler-tagin sisällön. Rekisteröidy foorumille... ]
     
  10. FlyingAntero

    FlyingAntero ɑ n d r o i d Tukijäsen Team Android

    Viestejä:
    1 722
    Rekisteröitynyt:
    17.10.2016
    Tämä tapaus saa koko ajan yhä erikoisempia käänteitä. Tällä hetkellä näyttää siltä, että muissa Qualcomm laitteisa ei olisi samaa aukkoa, sillä OnePlus on muokannut EngineerMode -sovellusta itse.



    Lisäksi "Alderson" löysi toisen erikoisen sovelluksen nimeltään OnePlusLogKit, jonka avulla voidaan kerätä kattavasti puhelimen lokitietoja. OnePlusLogKit on oletuksena kytketty pois päältä mutta ongelmalliseksi tilanteen tekee se, että jokin haittaohjelma voi ainakin teoriassa kytkeä sen aktiiviseksi ja lähettää tiedot eteenpäin.
    Magiskin kehittäjä kommentoi tilannetta seuraavasti:
    [ Vain rekisteröityneet käyttäjät näkevät Spoiler-tagin sisällön. Rekisteröidy foorumille... ]
     
  11. runboy93

    runboy93

    Viestejä:
    208
    Rekisteröitynyt:
    01.08.2017
    Pitääkö siis olla huolestunut jos se on päällä (vaikka omasta mielestäni en ole sitä pysyvästi päälle laittanut / jättänyt, monta kertaa olen logit tarvinnut bugireportteja varten, mutta olen aina sulkenut tuon logiohjelmiston käytöstä)? Ns. syö akkua ja niin edelleen?

    Huomasin, että tietyn OP3T päivityksen jälkeen (taisi olla Nougat) alkoi aina käynnistyksen jälkeen tiedoistoihin ilmestyä noita logikansioita, olisiko asioilla joku yhteys? Ihan fresh asennus vedetty niin Nougat versiolla silloin kun tämä ongelma ilmestyi, ja nyt Oreo beta käytössä ja se myös uudelleenasennettu kerran, itse veikkaan että se on päällä oletuksena (vaikka väittäisi muuta), ainakin "onepluslogkit" näkyy siellä käynnissä olevissa ohjelmissa / riippuvuutena muille ohjelmille.

    Tuo "virtual sd card" juttu kuulostaa pahalta :/
     
    Viimeksi muokattu: 16.11.2017
  12. FlyingAntero

    FlyingAntero ɑ n d r o i d Tukijäsen Team Android

    Viestejä:
    1 722
    Rekisteröitynyt:
    17.10.2016
    Lähtökohtaisesti kyseisen sovelluksen ei pitäisi olla aktiivinen, sillä kyseinen sovellus on tarkoitettu testausta/diagsointia varten. Sovelluksella ei siis ole mitään loogista syytä olla jatkuvasti aktiivisena. Jos nyt tulkitsen oikein alla olevaa twiittiä, niin OnePlus kykenee kytkemään lokittamisen aktiiviseksi.



    Kaiken kaikkiaan tämä peilautuu aika ikävästi edelliseen kohuun OnePlussan kannalta:
     
    runboy93 tykkää tästä.