27 marzo, 2017
Los investigadores de Aleph Security han descubierto una nueva vulnerabilidad en los OnePlus 3 y 3T que permite a los atacantes usar cargadores modificados para ingresar en los teléfonos, sin que el usuario se de cuenta.
El ataque se basa esencialmente en dos fallos previamente reportados – CVE-2017-5624 y CVE-2017-5626- para evitar los mecanismos defensivos de los smartphones e infectarlos con código malicioso. Lo que hace las cosas peores es que el hack permite a los atacantes cubrir sus pistas por completo.
Los investigadores han demostrado con éxito sus pruebas en dos videos separados:
Como se puede observar en las imágenes, el cargador sólo procede a infectar el dispositivo una vez que este ha sido completamente apagado.
A partir de este momento, los atacantes tienen acceso root temporal al equipo, al menos hasta la próxima vez que se lo reinicie. Esto permite a los atacantes reemplazar la partición del sistema original por otra infectada.
Una vez que el reemplazo se ha completado, la víctima no recibe absolutamente ninguna indicación de que el dispositivo ha sido manipulado, lo que hace que el hack sea todavía más peligroso.
Afortunadamente, la vulnerabilidad parece estar limitada sólo a los OnePlus 3 y 3T, aunque el OnePlus 2 utiliza la misma versión de OxygenOS. Aleph Security ha detallado y comunicado el defecto a OnePlus, que ha solucionado con éxito la falla en su última actualización (4.0.3) de OxygenOS.
Vía: ThenextWeb