Não, não é malicioso no sentido de “fulano com sorriso malicioso que não querem perto das vossas filhas”. Antes, através de um carregador comprometido, é possível executar um ataque a um OnePlus 3T ou OnePlus 3 com OxygenOS 4.0.2.
Como demonstram os vídeos de Aleph Security, poucos segundos após o OnePlus 3T se conectar a um carregador comprometido, o terminal desliga-se.
Uma vez totalmente desligado, os hackers terão acesso root até que o dispositivo seja reiniciado sem o carregador malicioso.
Imediatamente, o ataque substitui a partição do sistema por uma partição maliciosa que – graças a uma segunda vulnerabilidade – não notifica o utilizador das alterações ao sistema.
Numa segunda fase do ataque poderemos então então expor os dados pessoais do utilizador, que continuará sem saber o que se passa, devido à falta de notificações.
As vulnerabilidades CVE-2017-5624 e CVE-2017-5626 são já conhecidas e, felizmente, exclusivas à versão 4.0.2. do OxygenOS. A mais recente OxygenOS 4.0.3. já contém correcções para estas falhas de segurança.
Os vídeos que demonstram a exploração em acção são no entanto dignos de visualização, colocando em relevo como os ataques podem vir de pontos inesperados.
Não é claro nesta fase se poderiam ser utilizados carregadores indiferenciados, ou até que ponto um atacante teria que ter controle directo sobre o carregador usado no ataque.
