OnePlus 3 e 3T: scoperte due gravi falle di sicurezza nel bootloader

OnePlus 3 e 3T sono due tra i dispositivi più amati e supportati dalla community degli sviluppatori Android, che ha dedicato molte attenzioni ai prodotti dell'azienda cinese. Proprio grazie ad uno sviluppatore, Roee Hay, sono state recentemente scoperte due nuove vulnerabilità di sicurezza che riguardano il bootloader di OnePlus 3 e 3T, cosa che potrebbe mettere a rischio molti possessori di questi modelli.

La prima falla di sicurezza permette di sbloccare il bootloader degli smartphone citati senza dover confermare l'operazione nelle impostazioni e senza l'obbligo di un factory reset successivo allo sblocco. Ciò consentirebbe ad un eventuale malintenzionato di prendere possesso del dispositivo ed estrarre tutti i dati salvati in memoria. Fortunatamente, il problema riguarda solo i dispositivi che montano le versioni della OxygenOS dalla 3.2 alla 4.0.1, mentre è già stato risolto per le versioni successive, dalla 4.0.2 in poi.

Stessa cosa non si può dire della seconda vulnerabilità, che riguarda tutte le versione della OxygenOS e non è ancora stata sistemata.

In questo caso, tramite poche righe di codice si più disattivare il servizio dm-verity, meccanismo di sicurezza che si occupa di verificare il boot all'accensione. Combinata alla prima, questa falla di sicurezza permetterebbe ad un eventuale intruso di ottenere alti privilegi d'utilizzo dello smartphone e di compiere attività dannose, come installare app senza il consenso dell'utente o rubare i dati.

La società è già stata informata anche del secondo problema e sta lavorando ad un fix, che dovrebbe arrivare al più presto. Se siete tra i possessori di OnePlus 3 o 3T – ma la cosa vale anche come consiglio generale per tutti gli utenti – vi raccomandiamo di tenere sempre aggiornato il vostro dispositivo all'ultima versione software disponibile, sperando che anche il problema al dm-verity venga sistemato in tempi brevi.