Vous détenez un OnePlus 3 ou un OnePlus 3T qui tourne sous OxygenOS 4.0.2 ? Si tel est le cas, méfiez-vous des chargeurs. Oui, vous avez bien lu. Aleph Security, spécialiste de la sécurité informatique, a publié un rapport indiquant que ces deux modèles fonctionnant avec cette version spécifique de l’interface maison de OnePlus, pouvaient être piratés par le biais d’un chargeur infecté.
En utilisant cette méthode pour le moins originale, les pirates peuvent accéder à toutes les données utilisateurs stockées sur les téléphones en question. Pour illustrer ses propos, Aleph Security a posté deux vidéos sur YouTube démontrant comment les hackers mal intentionnés peuvent compromettre les terminaux.
Dans la première vidéo ci-dessus, on peut voir que des failles baptisées CVE-2017-5622 et CVE-2017-5626 permettent d’accéder au root des OnePlus 3 ou 3T. Au cours de cette première étape, il est important de noter que les hackers n’ont pas encore accès aux données sensibles de l’utilisateur. Ils peuvent néanmoins faire passer le module de sécurité SeLinux en mode permissif. Or c’est ce dernier qui gère le contrôle d’accès obligatoire garantissant la protection de l’appareil.
Autrement dit, le téléphone est déjà fortement compromis.
Dans la seconde vidéo, en plus des failles CVE-2017-5622 et CVE-2017-5626, une troisième, CVE-2017-5624, est également exploitée. Ici, le piratage est total puisque la partition système du téléphone est purement et simplement remplacée. Aucune notification n’est affichée pour prévenir la victime que son appareil a été profondément transformé.
À ce moment-là, les hackers ont accès à toutes les données qu’ils souhaitent puisqu’ils installent insidieusement une application permettant un contrôle total de l’appareil. Notez par ailleurs que dans les deux vidéos publiées, l’utilisation du chargeur piraté entraîne automatiquement un redémarrage du téléphone.
Avant de paniquer
Pour être sûr de ne rien risquer, pensez à utiliser toujours votre chargeur personnel sans jamais le prêter à un tiers. C’est peut-être un peu radical, mais au moins vous vous assurerez que personne n’a pu pirater celui-ci. Il est également important d’insister sur le fait que seuls les OnePlus 3 et 3T sous OxygenOS 4.0.2 sont vulnérables.
En effet, cette faille de sécurité ne concerne pas le OnePlus 2 tournant sous la même version du système d’exploitation. Enfin, OxygenOS 4.0.3 corrige ce problème.
Retrouvez un résumé du meilleur de l’actu tech tous les matins sur WhatsApp, c’est notre nouveau canal de discussion Frandroid que vous pouvez rejoindre dès maintenant !
Oui je suis quasiment sûr que la plupart des appareils agissent comme un périphérique de stockage une fois connecté par USB. Donc un hacker pourrait déjà récupérer les photos et autres donnée d'un smartphone connecté en proposant la recharge gratuite dans un lieux public. Dans une belle borne "recharge gratuite" même pas besoin de s’embêter avec un format réduit, un simple ordinateur portable fera l'affaire. Je ne me suis d'ailleurs jamais vraiment soucier de ce problème en rechargeant mon tel dans un aéroport. La prochaine fois je chercherais le bout du câble USB, histoire de voir si il vient d'un chargeur ou du pc du voisin ^^
Une énième version du virus belge.
Heureusement qu'on est à la mise à jour 4.1.0 x)
il faut aussi ajouter que le bootloader est déverrouillé sur les tels et que la rom n'a rien d'officiel mais bon...
Je pense quand même que les utilisateurs de oneplus sont assez conscient des mises à jour ;) après pour moi ces méthodes de piratage pour qui est leurs faut mon smartphone, un pc parfois même le code.. ? c'est pas du piratage pour moi.
C'est juste pour le proof of concept. Après, si tu veux le mettre en place, des micro-systèmes Linux capables de tenir dans des chargeurs (genre les gros Aukey 3A qu'on trouve sur Amazon, qui sont un peu massifs) ça existe. On peut même envisager de récupérer des cartes d'autres appareils IoT (genre des caméras de sécurité sur des sites chinois), extraire les cartes, et en faire ce qu'on veut. Ce qu'il faut se dire, c'est qu'il y a de plus en plus de chargeurs dans les endroits publics, sous format USB direct, qui peuvent être compromis et avec beaucoup plus d'espace pour coller un Raspberry par exemple. Donc ce genre d'attaque risque de se multiplier, parce qu'une fois qu'on a un accès physique à l'appareil, c'est juste une question de temps...
C'est quoi ce chargeur avec un écran, un PC? je comprend pas trop là comment ça fonctionne réellement, faudrait m'expliquer un peu plus...
Double clic nesquik !
clic clic clic
On en est a la 4.1.0, donc à moins de ne jamais faire les MAJ (Et donc être responsable d'être vulnérable à cette faille) cette info n'est pas très utile... Enfin bon, c'est vrai que certains inconscients ne font pas les mises à jour...
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix