Un chercheur en sécurité a découvert une vulnérabilité dans le bootloader du OnePlus 6. Le constructeur planche déjà sur une solution.
Le OnePlus 6 est un smartphone fantastique, mais il présente également une faille de sécurité très sérieuse, découverte par un chercheur indépendant en sécurité. Cette faille pourrait donner aux hackers technophiles un accès illimité à votre téléphone, s’ils y avaient accès physiquement avec un PC à proximité.
Tel que rapporté sur XDA Developers, et remarqué pour la première fois par le chercheur Jason Donenfeld du cabinet Edge Security, le bootloader sur OnePlus 6 n’est pas aussi verrouillé qu’il devrait l’être. Le bootloader est la partie du firmware intégré du téléphone qui vous empêche de remplacer le OnePlus OS avec n’importe quel autre système d’exploitation mobile.
Il s’avère que le OnePlus 6 vous permet de démarrer n’importe quel code, même lorsque le bootloader est censé être verrouillé, sans avoir à passer d’abord par les couches de sécurité habituelles, donc une multitude de logiciels malveillants pourraient être installés à votre insu.
Pour exploiter cette faille, le pirate aurait besoin d’un accès physique à votre téléphone, via un câble USB et un ordinateur, donc ce n’est pas quelque chose que vous allez recevoir lorsque votre OnePlus 6 est dans votre poche. Néanmoins, cela ressemble à un oubli de la part du fabricant.
Le fabricant de téléphones a confirmé dans un communiqué qu’un correctif pour le bug allait bientôt être lancé : « Nous prenons la sécurité au sérieux chez OnePlus. Nous sommes en contact avec le chercheur en sécurité, et une mise à jour du logiciel sera bientôt disponible. » Mais d’ici là, ne laissez pas votre OnePlus 6 hors de portée. Alors que les chances que quelqu’un puisse profiter de l’exploit sont en réalité très minces, nous parlons de mesures de sécurité Android fondamentales, il est donc surprenant que OnePlus ait manqué cela.
Selon les rapports, OxygenOS 5.1.6 inclut toujours le bootloader et sa faille, donc un correctif pourrait être inclus dans OxygenOS 5.1.7.