Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

OnePlus lost beveiligingsprobleem in bootloader OnePlus 6 op

OnePlus heeft een kwetsbaarheid in de bootloader van de OnePlus 6 verholpen. Het beveiligingsgat maakte het mogelijk om images te flashen zonder de bootloader te ontsleutelen en usb debugging in te schakelen.

OnePlus maakt niet veel woorden vuil aan het presenteren van de oplossing en stelt alleen dat de 'bootloader is bijgewerkt voor verbetering van de veiligheid'. Met deze update zit OxygenOS op versie 5.1.7. De update wordt momenteel 'uitgerold', wat betekent dat het in het ene land langer kan duren dan in het andere voordat de update werkelijk propageert. Via vpn naar een land verbinden waar de update al wel online staat, is een optie om het wachten te omzeilen.

De kwetsbaarheid werd ontdekt door de ontwikkelaar zx2c4, die het lukte om een aangepaste image te flashen op een OP6 met beveiligde bootloader. Hoewel dit het installeren van een aangepast os vergemakkelijkt, betekent het ook dat een kwaadwillende alleen fysiek toegang moet hebben tot de telefoon om binnen te dringen. Het lock screen en diens beveiliging omzeilen, was niet nodig.

Door Mark Hendrikman

Nieuwsposter

16-06-2018 • 10:16

28 Linkedin Google+

Submitter: AnonymousWP

Reacties (28)

Wijzig sortering
Dat is een grappige argument, er bestaan een tal van oplossingen 1 ervan en ook het vaaks gebruikte methode is bijvoorbeeld download mirrors te gebruiken. En zo zijn er nog veel oplossingen als "server load" de reden is.
Dan kunnen ze ook het certificate checken en dan is dat ook niet mogelijk.
Dat is toch al niet mogelijk omdat de download over HTTP (zonder S) gaat. Er is dus geen certificaat, maar enkel een Md5 checksum die wordt gecontroleerd.
Als de image ondertekend is met een certificaat en dat certificaat wordt ook gecontroleerd, dan maakt het niet uit of het via HTTP of HTTPS binnen komt. Net zoals je in Windows 10 software (vooral drivers) hebt die ondertekend is met een certificaat dat de auteur aantoont...
De originele software moet dan enkel de public key hebben om te kunnen bevestigen dat de image ondertekend is met de private key van de maker.
Waar staat dat dit om 'server load' redenen is?

Iedere fabrikant doet het eerst in één of meerdere landen releasen en dan pas naar de rest.
Letterlijk iedere fabrikant, dit heeft niks te maken met server load, dit heeft te maken met risico's.

Stel er zit een fout in de update waardoor de telefoon's bricken, dan ipv heel de wereld het probleem op te zadelen zit er maar een handvol mensen met het probleem..
Ik geloof dat uw reply op de verkeerde persoon gericht is, uw reply is bedoeld voor Martinspire die aanhaalde over server load
Ik heb geen OnePlus maar ik ben wel blij dat mijn mede-tweakers de nodige beveiligings update te pakken krijgen.

Blijkbaar zowel met VPN als zonder VPN (zo te zien in de comments)
Alleen wat jammer dat zo'n dingen altijd "uitgerold" worden i.p.v de consument te laten kiezen wat ze binnen halen voor hun toestel, dan is er geen gedoe met het omzeilen van regio-locking (VPN nodig) enkel duidelijke communicatie welk versie hoort bij welk toestel. (en natuurlijk de nodige waarschuwing indien je toch iets kiest dat niet aangeraden is natuurlijk )

Maar goed dit is maar het perspectief van mezelf ik ben benieuwd of er nog mensen zijn met een mening daarover..

[Reactie gewijzigd door Silversatin op 16 juni 2018 11:55]

Als je alles voor iedereen meteen beschikbaar maakt krijg je een soort ddos aanval op de server. 1 miljoen toestellen is veel verkeer
Het is geen regio locking, het is een manier om vanuit de fabrikant het verkeer te reguleren.
zie het maar als dat je op een feestje bent met een lopend buffet, vaak wordt er dan per tafel aangegeven wanneer je je eten kan halen.
En dan is er iets verkeerd met de update en staat die slechte update al op honderdduizenden toestellen. RIP.

Nu kan je het ook eenvoudig installeren als je dat echt al wilt.

[Reactie gewijzigd door SmokingCrop op 16 juni 2018 13:15]

Hij is over-the-air aangeboden. Ik was niet verplicht om hem te installeren op het test toestel. Je kunt de update dus ook negeren als je hem niet zou willen en lekker aan de gang wil gaan met nieuwe rom's.

In de toekomst zal die update hier ook wel worden geplaatst zodat iedereen hem kan downloaden:

https://downloads.oneplus.com
Ik heb de update klaar staan, is 64MB.
Hier het zelfde, via VPN inderdaad makkelijk binnen te krijgen.(Gebruik nu Turbo VPN)

[Reactie gewijzigd door jeroentje710 op 16 juni 2018 10:28]

via de app oxygen updater is 't nog makkelijker om 'm binnen te hengelen.
meerdere wegen die naar Rome leiden :)
Ik heb 'm ook, zonder VPN. Bij mij is i allleen 224mb
Ik niet. Maar heb dan ook geen 1+6.

De "ik heb hem" zou je moeten invullen dat hij in NL of België beschikbaar is...
Toestel is NL
Bij mij was ie 1,4GB maar dit is puur omdat mijn bl geunlocked is.
Heb hem ook binnen.

Staat nog niet op hun site bij downloads. 224Mb
Toch netjes dat ze dit binnen een week oplossen en uitrollen. :)
224MB is volgens mij versie 5.1.6
5.1.7 is 64 MB en inmiddels gedownload zonder VPN
Heb hem al binnen.
Ik kan ook niet wennen aan de scanner. Hij is stukken sneller dan op mij Nexus 6P maar hij is gewoon te klein dus ik zit er steeds naast. De rand om de scanner had ook groter mogen zijn zodat het beter te vinden is.

Niet op te lossen met een software update dus ;)

Update is binnen btw, gewoon zonder VPN of andere poespas.

[Reactie gewijzigd door westergas op 16 juni 2018 14:13]

Het "hij doet het niet" probleem of het "hij pakt hem niet" probleem, vermoed ik. :) :P

[Reactie gewijzigd door gertvdijk op 16 juni 2018 18:41]

Dan ligt dag toch echt aan zijn vingers:P

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True