Исследователь безопасности Рои Хэй (Roee Hay) обнаружил четыре уязвимости в смартфонах OnePlus. Проблемы затрагивают модели One, X, 2, 3 и 3T с прошивкой OxygenOS 4.1.3 или более ранних версий (по всему миру), а также с прошивкой HydrogenOS 3.0 или более ранних версий (в Китае).
По словам исследователя, смартфоны OnePlus получают обновления «по воздуху» (OTA) по незашифрованному каналу HTTP без TLS, благодаря чему злоумышленник может осуществить атаку «человек посередине». Поскольку обновления подписаны цифровым сертификатом, сама по себе уязвимость (CVE-2016-10370) не позволяет установить на устройство вредоносную прошивку. Тем не менее, она упрощает эксплуатацию трех других описанных Хэем уязвимостей, позволяющих обойти цифровые сертификаты.
С помощью уязвимости CVE-2017-5948 злоумышленник может осуществить атаку «человек посередине» и откатить прошивку до более старой версии. Таким образом, существенно расширяются векторы атак, поскольку у хакеров появится возможность проэксплуатировать известные старые уязвимости, исправленные в более новых версиях прошивки.
Уязвимость CVE-2017-8850 также позволяет осуществить атаку «человек посередине» и заменить любую версию OxygenOS на HydrogenOS и наоборот. Более того, злоумышленник может заменить операционную систему сторонним вредоносным ROM, загруженным с помощью шпионского ПО.
Уязвимость CVE-2017-8851 аналогична двум вышеописанным, однако затрагивает только OnePlus X и OnePlus One. Проблема позволяет заменить прошивку OnePlus X прошивкой OnePlus One даже при заблокированном загрузчике ОС.
Исследователь уведомил производителя о проблеме еще в январе текущего года, однако спустя 90 дней и еще дополнительных 14 дней патч так и не был выпущен, поэтому Хэй решил раскрыть подробности об уязвимостях.