Bezpieczeństwo w OnePlus 6 znowu kuleje – zablokowany bootloader to nie problem

Łukasz Pająk Newsy 2018-06-10

Mogłoby się wydawać, że bezpieczeństwo to priorytet wszystkich producentów. Patrząc na wydawanie paczek bezpieczeństwa można odnieść zupełnie inne wrażenie. OnePlus zdaje się to potwierdzać. O ile wszelkie poprawki zabezpieczeń, które wydaje Google, są stosunkowo szybko wdrażane na poszczególne urządzenia, to problemy pojawiają się tam, gdzie teoretycznie być ich nie powinno. Całkiem niedawno Michał pokazał Wam, że odblokowywanie twarzy w OnePlus 6 można oszukać zdjęciem i to czarno-białym, a tymczasem na wierzch wychodzi kolejne niedopatrzenie. Otóż w najnowszym smartfonie firmy zablokowany bootloader to zabezpieczenie na pokaz.

Jak udało się ustalić jednej z firm odpowiedzialnych za badanie bezpieczeństwa, na OnePlus 6 zainstalujemy dosłownie wszystko, bez konieczności wcześniejszego odblokowywania booloadera:

Blokada bootloadera w OnePlus 6 to prawdziwy problem

oneplus 6 odblokowany bootloader

Mogłoby się wydawać, że to odosobniony przypadek, ale niedługo później całą sytuację potwierdził portal Android Police, a zaraz za nim multum użytkowników. Co to tak naprawdę oznacza? Jeśli nie jesteście fanami modyfikacji, to najlepiej zostawić zablokowany bootloader. Zabezpiecza on nas przed instalacją modyfikowanych systemów, które mogą też być wykorzystywane do zbierania informacji o nas. Oczywiście zagrożenie wynika wyłącznie w momencie, gdy ktoś będzie miał fizyczny dostęp do naszego urządzenia.

Zobacz też: Oto bezramkowy smartfon, który pokazuje konkurencji, jak takie urządzenia powinny wyglądać.

Na szczęście OnePlus bardzo szybko zareagował na całą sytuację i obiecuje wydanie odpowiedniej poprawki tak szybko, jak to jest tylko możliwe. Przypomnijmy, że niedawno OnePlus 6 został zaktualizowany i pojawiły się funkcje zapowiadane na premierze oraz istotne poprawki.

źródło: Android Police



  • Martina Neumayer

    Przecież już to załatali. I to właśnie jest problem. Bo znów user uzależniony jest od widzimisię producenta.

    • Łukasz Pająk

      Kiedy załatali? Poinformowali, że załatają.

      • Martina Neumayer

        Pobudka! Hahah.. Poszło w upie sprzed paru dni. Trzech bodajże, o ile dobrze pamiętam, bo nie mam lapcia przed sobą teraz. Trzy albo cztery dni temu wydana aktualka załatwiła sprawę. I to było jej głównym zadaniem. Zablokować możliwość „lewego” odblokowania bootloadera. Reszta to tylko dodatki pod publiczkę 😉

        • Łukasz Pająk

          Chyba coś Ci się pomieszało. Ostatnia aktualizacja nie łatała tego – testy Android Police czy na XDA Developers są z wczoraj, oficjalne stanowisko firmy z dzisiaj, więc jak mogli już to załatać?

          • Martina Neumayer

            Tak mogli, jak zrobili. Ty myślisz, że androidpolice zawsze ma infosy ot takie sobie? Strony dostają to, co dostać mają. Nic innego. A to co jest im dawane to już inna bajka.
            Btw.. Flaki tego upa mam u siebie na lapku i widzę przecież co kod robi. Także wiesz.. 😉 Gadać to oni sobie mogą.. do znudzenia.

          • Łukasz Pająk

            Mhm… Logiczne – poprawić błąd i mówić, że jeszcze pracują nad poprawkami bezpieczeństwa. Przecież to nie ma sensu jakiegokolwiek.

          • Martina Neumayer

            Dlatego też napisałam to co powyżej. Dla mnie w tym tym bardziej logiki nie ma nijakiej 😉 A gdy patrzyłam na flaczki tego co w upie jest, to sobie pomyślałam (kolejny z resztą raz).. „what a f***k is this crap?”.
            Wiesz z czym mi się to kojarzy? Z taką polityką wciskania kitów. Byle by się user zamknął i nie miał pretensji. A wkręcić można mu kompletnie wszystko.
            Coś a’la mister Zuck od fejsa na tych jego „spowiedziach” przed komisjami. Dokładnie taka sama śpiewka.
            I dlatego też omijam szerokim łukiem wszelkie takie upy. A przynajmniej zanim sobie zaaplikuję w urządzenie, to patrzę po kodzie co w takowym upku siedzi. Żebym potem nie miała ceregieli.

    • Łukasz

      Dokładnie , jeżeli już przed czymś chroni to żeby sprzedawcy w sklepach nie wciskali syf romów

      • Martina Neumayer

        Absolutnie nie chroni przed niczym. Bo wystarczy, że sklepię sobie system oparty na stock’u i każdy bootloader zablokowany go łyknie jak ta lala. Tak samo jak łyka romy zapodawane przez OTA. Jest tylko jeden warunek.. że ów „mój customowy rom” nie będzie miał zawartego modemu, oraz kernela. Reszta może być praktycznie dowolnie pomodyfikowana. Odblokowany boot potrzebny jest w praktyce tylko, jeżeli rom zawiera zmienione obie w/w części.
        Czyli.. z jednej strony psu na budę taka łatka.. a z drugiej znów wkrowiające to jest, bo blokowanie boot’a to po prostu zwykła szmaciarska polityka uzależniania klienta od danego jednego producenta (twórcy) rom’u. Kwestia taka sama, jak było w przypadku simlocków. Też idiotyzm, z którym walczono przez lata całe.

  • Adrian Zgórz

    Albo coś Pan pokręcił w idei tego artykuły, albo generalnie on jest bez sensu. Najpierw Pan pisze, że zablokowany bootloader i tak pozwoli na instalację wszystkiego, a kawałem dalej, że lepiej zostawić go zablokowanego, bo dzięki temu jesteśmy chronieni, przed instalacją nie pożądanych wersji…. Nie bardzo tu widzę logikę…

    • Łukasz Pająk

      Tak, zablokowany bootloader pozwala na instalacje wszystkiego i tak nie powinno być.

      • stark2991

        Chyba nie na instalację, tylko na bootowanie obrazów, i to w formacie .img

        • Martina Neumayer

          Dokładnie mówiąc dziura pozwalała obejść ostatnią fazę sprawdzenia poprawności sum kontrolnych plików obrazu jakie dostawał bootloader do przemiału. Możnabyło mu podstawić w sumie dowolne dane i je przepuszczał. A co za tym szło możnabyło mu zapodać np. własną paczkę aroma i dalej instalka leciała już bezproblemowo 🙂 Bez kombinacji unlockiem, bez zabawy z twrp itp. Szło spod oryginalnego recovery.
          Po prostu modderska bajeczka.

          • LukaszAang

            😁 Coś pięknego dla modera

          • Martina Neumayer

            Dokładnie tak 🙂 Dla modderów i także np. dla serwisantów.

        • Łukasz Pająk

          Instalację również z tego, co widziałem.