OnePlus-telefoner laddar ner A-GPS-data via osÀkra kanaler: rapport

Skott pÄ OnePlus-appen hittade lÀckande e-postdata pÄ grund av en brist

“Detta kan göra det möjligt för hackare att Ă€ndra GPS-data pĂ„ din telefon och leda offren till en annan plats”

En ny rapport som hÀvdar att OnePlus har Äsidosatt standardpolicyerna för AOSP (Android Open Source Project). Den kinesiska tillverkaren levererar enligt uppgift sina telefoner med gps.conf, en textbaserad konfigurationsfil. Nu bör den hÀr filen endast anvÀndas för felsökning, men kommer som standard i OxygenOS. Detta Àr ett problem som kan orsaka problem för OnePlus-smarttelefonanvÀndare.

OnePlus-telefonerna möjliggör med vÄld osÀkra XTRA-dataservrar, som inte har anvÀnts pÄ Android sedan lÀnge. Ja, du kan fortfarande anvÀnda dem, men detta leder till att telefonen laddar ner nödvÀndiga almanackdata via osÀkra HTTP-kanaler. TÀnk dig nu att du anvÀnder din OnePlus-enhet för att navigera till en plats och en nÀtverksangripare har lyckats fÄ tag pÄ dessa data. Angriparen kan lÀtt leda dig till en plats efter eget val, vilket kan visa sig vara farligt.

OnePlus 6T-recension14

Rapporten sÀger att en LineageOS-bidragsgivare har verifierat problemet och till och med lÀmnat in en felrapport pÄ OnePlus Forum förra mÄnaden. OnePlus svarade dock och sa att den var medveten om detta, men uppgav att gps.conf inte anvÀnds för AGPS-data. Svaret kom tidigare i veckan, men det visade sig att pÄstÄenden frÄn OnePlus inte var sanna. Ytterligare tester visade att det överordnade fortfarande hÀnder. Företaget uppgav ocksÄ att en fix pÄgÄr och kommer att finnas tillgÀnglig i framtida programuppdateringar.

OnePlus sa, ”För nedladdning under XTRA lĂ€ser enheten adressen i Modem NV config, som gĂ„r genom HTTPS istĂ€llet för HTTP, och GPS.conf har redan ignorerats, sĂ„ XTRA-konfigurationen fungerar inte. Tack för Ă„terkopplingen hur som helst, och vi kommer att synkronisera GPS.conf till HTTPS i de kommande uppdateringarna för att lösa problemet. ”

Att anvÀnda HTTP istÀllet för HTTPS Àr redan en stor sak och betraktas som felbehandling eftersom det kan leda till nÀtverksattacker. Denna ÄsidosÀttande ses ocksÄ i OPPO-telefoner, som Àr en del av BBK Electronics som Àger OnePlus.