OnePlus continua a trasmettere in chiaro l’IMEI di OnePlus 3 quando procedete alla ricerca di un aggiornamento; questo nonostante sia ormai a conoscenza, attraverso le segnalazioni, che utilizzare il protocollo HTTP (invece che HTTPS) potrebbe esporre il codice a eventuali intercettazioni di malintenzionati.
Come forse ricorderete ne abbiamo parlato a inizio luglio dopo diverse segnalazioni degli utenti su Reddit: stranamente però OnePlus, nonostante sia ormai a conoscenza dell'”errore”, sta persistendo con lo stesso metodo di trasmissione dei dati.”Diffondere” il codice IMEI può essere pericoloso in quanto il malintenzionato che ne entrerebbe in possesso, in una rete pubblica, potrebbe farvi bloccare lo smartphone (o peggio), lasciandovi a piedi da un momento all’altro.
L’utente di XDA che il mese scorso ha scoperto la vulnerabilità lo ha fatto notare sul forum ufficiale della casa cinese e ha contattato l’assistenza, ma a quanto pare nulla sarebbe stato fatto per ovviare al problema; la versione software di allora era la Oxygen OS 3.2.1, ora siamo arrivati alla 3.2.4, ma ancora niente fix.
POST http://i.ota.coloros.com/post/Query_Update HTTP/1.1 User-Agent: com.oneplus.opbackup/1.3.0 Cache-Control: no-cache Content-Type: application/json; charset=utf-8 Host: i.ota.coloros.com Connection: Keep-Alive Accept-Encoding: gzip Content-Length: 188 Raw {"version":"1","mobile":"ONEPLUS A3000","ota_version":"OnePlus3Oxygen_16.X.01_GLO_001_1608221857","imei":"XXX","mode":"0","type":"0","language":"en","beta":"0","isOnePlus":"1"}
Un portavoce di OnePlus avrebbe confermato la soluzione del problema con la versione 3.5 (rilasciata lo scorso mercoledì come Community Build, ossia beta), ma in seguito a un test si è scoperto che il sistema manda ancora il codice IMEI con il protocollo HTTP. Francamente non comprendiamo questo comportamento, ma non mancheremo di fornirvi novità, magari direttamente da OnePlus.