你近期是否購買了一加6手機(jī)，或正計(jì)劃購買一部呢？看完這篇報(bào)告性的文章，你可能會(huì)望而卻步。因?yàn)?#xff0c;最近安全研究人員披露在OnePlus 6 bootloader中，存在嚴(yán)重的安全漏洞，即使bootloader被鎖定，也可以由他人啟動(dòng)任意或修改過的images，并最終完全控制你的手機(jī)。

引導(dǎo)加載程序( bootloader)是手機(jī)內(nèi)置固件的一部分，將其鎖定可以阻止用戶使用任何未經(jīng)認(rèn)證的第三方ROM，來更換或修改手機(jī)的操作系統(tǒng)，從而確保系統(tǒng)引導(dǎo)至正確的操作系統(tǒng)。

Edge Security的安全研究員Jason Donenfeld發(fā)現(xiàn)，OnePlus 6上的引導(dǎo)加載程序竟然未被完全的鎖定，這意味著任何人都可以將任何修改過的image刷入手機(jī)上并完全控制手機(jī)。

在視頻中Donenfeld展示了攻擊者是如果通過物理訪問設(shè)備，使用ADB工具的fastboot命令啟動(dòng)被修改的惡意image，并最終完全控制受害者設(shè)備的過程。

視頻演示

正如你在視頻中看到的那樣，攻擊者甚至不需要開啟USB調(diào)試模式，只需將受害者的OnePlus 6通過數(shù)據(jù)線插入其計(jì)算，重啟手機(jī)進(jìn)入Fastboot模式，然后通過修改后的啟動(dòng)映像進(jìn)行傳輸即可。

以上步驟僅需短短的幾分鐘就能完成。因此，為了你的手機(jī)的安全，這里建議大家不要讓你的手機(jī)輕易的離開你的視線，或交由他人和陌生人保管。

，FB小編 secist 編譯，轉(zhuǎn)載請(qǐng)注明來自FreeBuf.COM

總結(jié)

以上是生活随笔為你收集整理的android bootload漏洞,一加6手机的Bootloader漏洞可让攻击者控制设备的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。