QR code per la pagina originale

OnePlus 6, scoperta vulnerabilità nel bootloader

Il produttore cinese rilascerà un aggiornamento per risolvere una vulnerabilità che permette di installare ROM custom anche se il bootloader è bloccato.

,

Jason Donenfeld, ricercatore di sicurezza e presidente di Edge Security, ha scoperto una grave vulnerabilità nel nuovo OnePlus 6. Nonostante il bootloader bloccato è possibile installare qualsiasi immagine modificata. Il produttore cinese ha comunicato che rilascerà un fix per risolvere il problema. Nel frattempo gli utenti possono scaricare OxygenOS 5.1.6 che introduce la modalità Ritratto per la fotocamera frontale.

Il bootloader è la prima linea di difesa degli smartphone, in quanto impedisce l’installazione di software non certificato. Molti utenti effettuano il cosiddetto “unlock” con l’obiettivo di testare ROM alternative, come la nota LineageOS. Ciò comporta però un rischio per la sicurezza, del quale è necessario tenere conto. Purtroppo il produttore cinese ha involontariamente semplificato l’installazione di immagini non ufficiali, dato che la vulnerabilità permette di eludere la protezione del bootloader. Non serve quindi lo sblocco, ma solo l’accesso fisico allo smartphone che deve essere collegato al computer.

Donenfeld ha verificato che è sufficiente il comando fastboot del tool ADB per ottenere il controllo completo del dispositivo con permessi root. Per sfruttare la vulnerabilità non occorre attivare l’opzione USB Debugging. OnePlus ha ricevuto la segnalazione dal ricercatore e promesso la distribuzione di un aggiornamento software nei prossimi giorni.

La qualità del supporto offerto dal produttore cinese è testimoniana dal rilascio di OxygenOS 5.1.6. La nuova versione del sistema operativo aggiunge la modalità Ritratto per la fotocamera frontale e l’anteprima per l’effetto Light Bokeh della fotocamera posteriore. Sono stati inoltre migliorati la qualità delle chiamate e dei suoni, aggiunta la percentuale della batteria nella barra di stato e ottimizzati i consumi.

Aggiornamento: la vulnerabilità è stata risolta in OxygenOS 5.1.7.

Fonte: XDA • Immagine: OnePlus