Pour exploiter cette vulnérabilité, il faut toutefois connecter le OnePlus 6 en USB à un ordinateur. Mais quiconque met la main sur le terminal peut potentiellement en prendre le contrôle, sans même avoir à passer en mode développeur.
Un câble USB suffit à modifier l'appareil
Si vous êtes propriétaire d'un OnePlus 6, vous avez entre les mains un smartphone puissant et salué par la critique, mais aussi un appareil présentant une faille préoccupante. Un expert en cybersécurité, Jason Donenfeld, président du cabinet Edge Security, vient de révéler qu'une vulnérabilité permettait à une personne de lancer le système pilotant l'appareil avec une image modifiée.Pour cela, comme Jason Donenfeld le montre dans une courte vidéo postée sur Twitter, il suffit de connecter le OnePlus 6 à un PC. A partir de là, il parvient à lancer une image qui lui livre le contrôle total de l'appareil, comme s'il était rooté. Et ce, sans même avoir à déverrouiller le bootloader qui empêche, en théorie, les modifications internes du système d'exploitation Android.
The #OnePlus6 allows booting arbitrary images with `fastboot boot image.img`, even when the bootloader is completely locked and in secure mode. pic.twitter.com/MaP0bgEXXd
— Edge Security (@EdgeSecurity) 9 juin 2018
Un correctif très bientôt
La manipulation réussit donc, même si l'appareil n'est pas en mode développeur ou USB debugging. Cette découverte est clairement problématique car elle permet potentiellement à une personne mal intentionnée de prendre le contrôle d'un OnePlus 6 sans passer par une backdoor ou un code malicieux. Un simple câble USB suffit à modifier l'appareil en profondeur.OnePlus a rapidement réagi à la révélation de cette vulnérabilité et promet la diffusion d'un correctif dans les plus brefs délais.
