La plupart des fabricants de smartphones ont tendance à publier des correctifs de sécurité chaque mois ou tous les deux mois. Nous savons que parfois la mise à jour de votre téléphone est un problème, mais s'il y avait jamais une bonne raison de rester au courant des mises à jour, ce serait à cause de cela: une vulnérabilité majeure OnePlus oxygenos a été trouvée, qui pourrait mettre beaucoup d'utilisateurs OnePlus en danger.
Une vulnérabilité majeure OnePlus oxygenos a été trouvée
Selon un rapport de la société de cybersécurité Rapid7, il a découvert une vulnérabilité majeure dans la plate-forme mobile OnePlus Oxygenos. Le rapport affirme qu'il s'agit d'une «vulnérabilité de contournement d'autorisation» et s'étend sur plusieurs versions du système d'exploitation. Cela signifie que cela affecte probablement plusieurs modèles OnePlus.
Rapid7 dit, « Le problème découle du fait que les fournisseurs de contenu internes sensibles sont accessibles sans autorisation et sont vulnérables à l'injection SQL. » Leur rapport ajoute également, « Sur la base de notre analyse, cette vulnérabilité pourrait être exploitée pour contourner l'autorisation de base Android Read_SMS pour exfiltrer silencieusement les données SMS des utilisateurs sans leur consentement et casser les systèmes MFA basés sur SMS. »
Mais comment cela s'est-il produit? Pourquoi a-t-il été découvert que maintenant et pas avant? Il s'avère que ce problème pourrait provenir de OnePlus changeant le package de téléphonie Android d'origine. La société voulait introduire des fournisseurs de contenu exportés supplémentaires comme PushMessageProvider, PushshopProvider et ServiceNumberProvider. Cependant, ces fournisseurs n'ont pas déclaré une autorisation d'écriture pour «read_sms». Par défaut, cela le laisse ouvert à n'importe quelle application, même ceux qui n'ont pas l'autorisation SMS.
Les chercheurs ont effectué un petit test et confirmé la vulnérabilité. Cependant, leurs résultats étaient limités aux OnePlus 8T et 10 Pro. Cela ne signifie pas que les autres appareils OnePlus ne sont pas affectés. Cependant, nous savons que ces deux-là sont sensibles.
Réponse de OnePlus (ou son absence)
Selon Rapid7, cette vulnérabilité a été découverte plus tôt cette année. Ils ont essayé de contacter OnePlus en mai pour partager leurs résultats. Ils ont même tenté de tendre la main sept fois sans réponse concrète. Cela a conduit Rapid7 à décider de divulguer le problème publiquement, après quoi OnePlus l'a reconnu. La société affirme avoir lancé une enquête sur la question.
Alors, qu'est-ce que cela signifie pour les utilisateurs OnePlus? Pour l'instant, il n'y a pas grand-chose que vous puissiez faire jusqu'à ce que OnePlus résout le problème. En attendant, vous voudrez peut-être maintenir les installations d'applications au minimum, ou du moins vous assurer que les applications que vous téléchargez proviennent d'éditeurs de confiance et de vitrines. En outre, vous voudrez peut-être envisager de passer du 2FA basé sur SMS pour l'instant.
