OnePlus 3 sta continuando a trasmettere in chiaro l’IMEI durante la ricerca di aggiornamenti

OnePlus continua a trasmettere in chiaro l’IMEI di OnePlus 3 quando procedete alla ricerca di un aggiornamento; questo nonostante sia ormai a conoscenza, attraverso le segnalazioni, che utilizzare il protocollo HTTP (invece che HTTPS) potrebbe esporre il codice a eventuali intercettazioni di malintenzionati.

Come forse ricorderete ne abbiamo parlato a inizio luglio dopo diverse segnalazioni degli utenti su Reddit: stranamente però OnePlus, nonostante sia ormai a conoscenza dell'”errore”, sta persistendo con lo stesso metodo di trasmissione dei dati.”Diffondere” il codice IMEI può essere pericoloso in quanto il malintenzionato che ne entrerebbe in possesso, in una rete pubblica, potrebbe farvi bloccare lo smartphone (o peggio), lasciandovi a piedi da un momento all’altro.

L’utente di XDA che il mese scorso ha scoperto la vulnerabilità lo ha fatto notare sul forum ufficiale della casa cinese e ha contattato l’assistenza, ma a quanto pare nulla sarebbe stato fatto per ovviare al problema; la versione software di allora era la Oxygen OS 3.2.1, ora siamo arrivati alla 3.2.4, ma ancora niente fix.

POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1
User-Agent: com.oneplus.opbackup/1.3.0
Cache-Control: no-cache
Content-Type: application/json; charset=utf-8
Host: i.ota.coloros.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 188
Raw
{"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}

Un portavoce di OnePlus avrebbe confermato la soluzione del problema con la versione 3.5 (rilasciata lo scorso mercoledì come Community Build, ossia beta), ma in seguito a un test si è scoperto che il sistema manda ancora il codice IMEI con il protocollo HTTP. Francamente non comprendiamo questo comportamento, ma non mancheremo di fornirvi novità, magari direttamente da OnePlus.

Fonte

Commenti

Ti invitiamo ad usare toni consoni e di rimanere in tema all'argomento trattato, in caso contrario, il sistema automatico potrebbe oscurare il tuo messaggio e potrebbero trascorrere fino a 48h per la verifica ed un'eventuale autorizzazione.
TuttoAndroid si riserva comunque il diritto di allontanare le persone non adatte a tenere un comportamento corretto e rispettoso verso gli altri.

  • c1p8HD

    Mah.. io vorrei proprio vedere chi effettivamente sfrutta una cosa così…

  • Danilo Freiles

    Semplice, OnePlus depennato.

Top