Cuidado com atualizações de software falsas para dispositivos OnePlus

Quando foi a última vez que você ouviu falar de uma atualização de software falsa? Bem, parece que os proprietários do OnePlus terão uma surpresa desagradável. Especialistas em segurança encontraram um exploit de segurança há algumas semanas que permite que atualizações de software falsas sejam instaladas em dispositivos OnePlus. Esse malware pode fazer o downgrade ou até mesmo substituir completamente o software do telefone.

Se você estiver usando o OnePlus One, provavelmente deve evitar se conectar a um sinal Wi-Fi público em um futuro próximo. A multinacional indiana de serviços de TI, HCL Technologies, descobriu recentemente que alguns hackers astutos conseguiram usar sinais públicos de Wi-Fi como um canal para transferir uma suposta atualização de software para o seu telefone – que na realidade acaba sendo um cavalo de Tróia montado em malware .

O chamado ataque man-in-the-middle permite que invasores conectados ao mesmo sinal Wi-Fi enviem uma suposta atualização OTA para o seu dispositivo OnePlus. Este OTA pode conter uma versão mais antiga do Oxygen OS, que por sua vez abre brechas de segurança antigas do Android novamente e, assim, permite novos ataques. Um vídeo de prova de conceito mostra um downgrade bem-sucedido.

A vulnerabilidade foi descoberta principalmente porque o OnePlus entrega as atualizações aos seus usuários sem criptografia. Outras vulnerabilidades no sistema de atualização do OnePlus permitem que o firmware seja substituído por uma versão mais antiga ou completamente diferente, por exemplo, do Oxygen OS para o Hydrogen OS – mesmo que o bootloader do dispositivo esteja bloqueado.

Então, o que você pode fazer para proteger seu dispositivo OnePlus?

Como o software do OnePlus 3T, OnePlus 3, OnePlus 2, OnePlus X e o do OnePlus One são afetados, você não vai ser capaz de simplesmente aplicar a dica testada e confiável: “Não atualize seu software para a versão mais recente do Oxygen OS”. Isso pode realmente piorar o problema. O problema atual só pode ser corrigido pelo OnePlus, alterando sua infraestrutura de atualização.

Especialistas em segurança explicaram que, simplesmente tomando algumas precauções de segurança de bom senso, você pode reduzir bastante o risco de receber esse exploit. A primeira coisa que você pode fazer para evitar isso é não se conectar a redes Wi-Fi públicas. Você também deve habilitar Full Disk Encryption e Secure Boot.