Non è la prima volta che OnePlus dimostra di non eccellere in sicurezza, ma questa volta sembra averla combinata parecchio grossa. Come probabilmente l’utenza più smanettona già saprà, i produttori hanno iniziato a bloccare il bootloader dei propri dispositivi come misura di sicurezza, per prevenire l’avvio di immagini di boot modificate che potrebbero contenere del codice arbitrario in grado di fare danni al vostro dispositivo e ai dati contenuti in esso.
Anche OnePlus ha sempre spedito ai clienti dispositivi con bootloader bloccato, ma a quanto pare, su OnePlus 6, questo blocco sembra essere “parziale”: è possibile infatti, collegando lo smartphone in modalità fastboot ad un qualsiasi PC, avviare una immagine di boot modificata senza dover prima sbloccare il bootloader. La vulnerabilità è stata scoperta da Jason Donenfeld, il presidente di Edge Security, ed è stata successivamente confermata da OnePlus.
ONEPLUS 6: SCOPERTA UNA VULNERABILITÀ AL BOOTLOADER DEL DEVICE.
La vulnerabilità sembra risiedere all’interno del sistema di controllo della firma digitale delle immagini di avvio, che non funziona correttamente, e fornisce un risultato valido anche sulle immagini che non sono firmate, o che possiedono una firma non valida.
Questa vulnerabilità può di fatto sembrare un “plus” per tutti quelli che vogliono moddare il proprio dispositivo, dato che non devono sbloccare il bootloader, e quindi non necessitano – ad esempio – di dover effettuare il backup dei propri dati. Essa in realtà, rappresenta una evidente falla di sicurezza, perché un qualunque malintenzionato in grado di ottenere l’accesso fisico al dispositivo per più di 10 minuti, potrebbe essere in grado di avviare una immagine non firmata, che gli potrebbe fornire accesso al dispositivo senza dover passare attraverso le normali misure di sicurezza (codici di sblocco ecc.)
In ogni caso, OnePlus ha promesso un fix nelle prossime settimane, che dovrebbe risolvere questo bug e garantire una maggiore sicurezza ai possessori del nuovo top di gamma della casa cinese.
Ovviamente vi terremo aggiornati su ulteriori sviluppi a riguardo, nel frattempo, fateci sapere nei commenti cosa ne pensate di questa situazione!