Смартфоны OnePlus 3/3T на базе OxygenOS 4.0.2 можно взломать через зарядку

Смартфоны OnePlus 3/3T на базе OxygenOS 4.0.2 можно взломать через зарядку

Пользователь не успевает ничего заметить, так как взлом занимает всего несколько секунд.

image

В последние несколько лет безопасность персональных данных на мобильных устройствах является одной из самых обсуждаемых тем. Злоумышленники неустанно разрабатывают новые методы и эксплуатируют уязвимости в устройствах, чтобы добраться к их содержимому. Даже такие смартфоны, как OnePlus 3 и OnePlus 3T, регулярно получающие обновления безопасности, подвергаются риску. Как оказалось, их можно взломать при помощи специального зарядного устройства.

Специалисты компании Aleph Security опубликовали видео, в котором продемонстрировали процесс взлома смартфонов. Атака осуществляется таким образом, что пользователь не успевает ничего заметить, так как взлом занимает всего несколько секунд - смартфон сразу же отключается после подключения к вредоносной зарядке.

Как пояснили исследователи, в ходе атаки эксплуатируются уязвимости CVE-2017-5624 и CVE-2017-5626 для получения прав суперпользователя на устройстве. Права сохраняются до следующей перезагрузки OnePlus 3/3T при условии, что вредоносная зарядка не подключена к смартфону. В ходе атаки оригинальный системный раздел заменяется на вредоносный.

На первом этапе злоумышленники получают права суперпользователя, но не доступ к пользовательским данным, так как этот раздел зашифрован. Однако после замены раздела вредоносным (путем эксплуатации уязвимости CVE-2017-5626) атакующие получают возможность скомпрометировать конфиденциальную информацию.

Хакеры также могут заблокировать предупреждения о модификации системных разделов, эксплуатируя уязвимость CVE-2017-5624. Если загрузчик OnePlus 3 или 3T разблокирован, эксплуатация CVE-2017-5626 не требуется.

Вышеописанная атака возможна только на устройствах OnePlus 3/3T, работающих под управлением OxygenOS 4.0.2. Исследователи уведомили производителя об уязвимости и OnePlus уже выпустила обновление OxygenOS 4.0.3, устраняющее проблему.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle