一加6手機的Bootloader漏洞可讓攻擊者控制設備

你近期是否購買了一加6手機，或正計劃購買一部呢？看完這篇報告性的文章，你可能會望而卻步。因為，最近安全研究人員披露在OnePlus 6 bootloader中，存在嚴重的安全漏洞，即使bootloader被鎖定，也可以由他人啟動任意或修改過的images，並最終完全控制你的手機。

引導載入程序（ bootloader）是手機內置固件的一部分，將其鎖定可以阻止用戶使用任何未經認證的第三方ROM，來更換或修改手機的操作系統，從而確保系統引導至正確的操作系統。

Edge Security的安全研究員Jason Donenfeld發現，OnePlus 6上的引導載入程序竟然未被完全的鎖定，這意味著任何人都可以將任何修改過的image刷入手機上並完全控制手機。

在視頻中Donenfeld展示了攻擊者是如果通過物理訪問設備，使用ADB工具的fastboot命令啟動被修改的惡意image，並最終完全控制受害者設備的過程。

視頻演示：

正如你在視頻中看到的那樣，攻擊者甚至不需要開啟USB調試模式，只需將受害者的OnePlus 6通過數據線插入其計算，重啟手機進入Fastboot模式，然後通過修改後的啟動映像進行傳輸即可。

以上步驟僅需短短的幾分鐘就能完成。因此，為了你的手機的安全，這裡建議大家不要讓你的手機輕易的離開你的視線，或交由他人和陌生人保管。

*參考來源：thehackernews，FB小編 secist 編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！