OnePlus: scoperta una nuova falla di sicurezza nel sistema di aggiornamenti OTA

OnePlus è nuovamente al centro dell'attenzione per quanto riguarda la sicurezza dei suoi dispositivi. In passato vi avevamo parlato di alcune falle di sicurezza che affliggevano il bootloader di OnePlus 3 e 3T, questa volta invece Aleph Security ha scovato una vulnerabilità che riguarda il sistema di aggiornamenti OTA di tutti i dispositivi prodotti fin qui dall'azienda cinese.

Il problema è da ricercare nel modo in cui i dispositivi OnePlus accettano gli aggiornamenti OTA, pare infatti che tramite un attacco 'man in the middle', oppure anche durante il sideload di un aggiornamento OTA tramite recovery, si vengano a creare delle falle che possono essere sfruttate per eseguire un downgrade del firmware, portando conseguentemente alla luce altre e più gravi vulnerabilità.

Un downgrade è, in gergo informatico, un aggiornamento al contrario, cioè l'installazione di un firmware rilasciato precedentemente rispetto a quello attualmente in uso. Questo ritorno ad una versione software più 'vecchia' coincide con versioni ormai obsolete delle patch di sicurezza di Android e quindi con una maggiore facilità nel manomettere il software del dispositivo.

Un altro modo per sfruttare questa falla nel sistema OTA è la possibilità di forza l'installazione su OnePlus One di un firmware creato per OnePlus X e viceversa, ottenendo come risultato un bootloop risolvibile soltanto con un ripristino totale allo stato di fabbrica dei dispositivi (e quindi alla perdita dei dati dell'utente). OnePlus è stata messa al corrente della scoperta di questa nuova vulnerabilità software, speriamo quindi che sia già al lavoro per un fix che metta al sicuro i suoi dispositivi da possibili attacchi.