Da qualche tempo i produttori di smartphone hanno iniziato a bloccare i bootloader, per prevenire l’esecuzione di codice arbitrario e per mantenere quindi al sicuro il dispositivo. A quanto pare OnePlus ha dimenticato qualcosa in OnePlus 6, visto che anche con il bootloader bloccato è possibile avviare un’immagine di boot modificata.
La scoperta è stata fatta da Jason Donenfeld, presidente di Edge Security e confermata da OnePlus, che ha comunicato di essere in contatto con il ricercatore di sicurezza e di essere al lavoro per correggere il problema. Va detto che per sfruttare la vulnerabilità un eventuale attaccante deve avere accesso fisico allo smartphone per qualche minuto.
E in questi casi, che ci sia di mezzo una vulnerabilità o meno l’utente sta sempre prendendo un grosso rischio per la sicurezza del proprio dispositivo, a meno che tutto non avvenga sotto la diretta supervisione. È sufficiente avere un qualsiasi computer e un cavo a disposizione per avviare lo smartphone con una immagine di boot modificata, attraverso un comando fastboot.
Non serve attivare la modalità di debug USB, visto che tutto quello che serve è riavviare lo smartphone in modalità fastboot e avviare l’immagine alternativa, un’operazione che richiede davvero pochissimi minuti.
OnePlus ha confermato di prendere sul serio qualsiasi rischio per la sicurezza e di essere già al lavoro per risolvere questo problema. Resta il fatto che non è il primo “scivolone” in materia di sicurezza per OnePlus, che già in passato aveva avuto qualche problema in questo senso. A breve comunque dovrebbe arrivare un aggiornamento che chiuderà questa falla mettendo al sicuro tutti gli OnePlus 6.