OnePlus 3: Neue Firmware gestoppt, weil IMEI per OTA abgreifbar war

Smartphone, OnePlus, OnePlus 3 Bildquelle: @evleaks
Das OnePlus 3 ist seit Tagen in den Schlagzeilen, doch nicht immer sind diese für das Unternehmen und seine Kunden gut: Denn gestern musste das chinesische Startup die Verteilung von OxygenOS 3.2.0 stoppen. Das Unternehmen sprach lediglich von Problemen, allerdings dürfte man sich einen ziemlich schwerwiegenden Sicherheitsfehler geleistet haben.
Am Montag hat OnePlus begonnen, das von vielen langerwartete Update auf Version 3.2.0 der hauseigenen Android-Fassung OxygenOS zu verteilen, Deutschland war das erste Land, das zum Zuge kam. Doch das Unternehmen hat die Verteilung wenig später gestoppt, in einem Update im Forum heißt es, dass man "einige Berichte über Probleme während des Upgrade-Vorgangs erhalten habe". Weiter schreibt man, dass man diese derzeit untersuche und den Rollout deshalb gestoppt habe.

OnePlus 3OnePlus 3OnePlus 3OnePlus 3

Unverschlüsselte OTA-Abfrage

Laut Reddit sowie einem Beitrag im OnePlus-Forum ist es ein ziemlicher Anfängerfehler, den sich das Unternehmen hier geleistet hat: Denn im Wesentlichen wird bzw. wurde jedes Mal, wenn ein OnePlus 3-Besitzer überprüft hat, ob ein OTA-Update bereitsteht, die IMEI (International Mobile Equipment Identity) des Geräts übermittelt - und zwar im Klartext und nicht (HTTPS-)verschlüsselt.

Denn bei einer derartigen Überprüfung sendet das Gerät einen POST-Request, also im Prinzip auf Knopfdruck, samt IMEI an http://i.ota.coloros.com/post/Query_Update (OTA steht natürlich für Over The Air) und das eben über eine herkömmliche HTTP-Verbindung.


Das ist dann kein Problem, wenn man diese Anfrage über ein gesichertes, also verschlüsseltes kabelloses Netzwerk durchführt. Ist man aber über ein offenes WLAN mit dem Internet verbunden, dann könnte eine derartige OTA-Abfrage genutzt werden, um die IMEI abzugreifen. Diese wiederum kann theoretisch missbraucht werden, um ein Gerät in den Datenbanken eines Mobilfunkers als gestohlen oder verloren zu markieren und es so zu sperren.

In der Praxis ist es allerdings höchst unwahrscheinlich, dass die IMEI auf diese Weise abgegriffen wird, zudem ist eine etwaige Sperrung nicht irreversibel. Für OnePlus ist dieser Sicherheits-Fauxpas aber zweifellos alles andere als schmeichelhaft. Smartphone, OnePlus, OnePlus 3 Smartphone, OnePlus, OnePlus 3 @evleaks
Diese Nachricht empfehlen
Kommentieren15
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 19:40 Uhr Prepaid SIM-Karte mit Smart-Option L 2 Monate gratis (keine Vertragsbindung) 200 Min./200 SMS/500 MB Highspeed-Internet 25 Euro für Handynummern-Mitnahme
Prepaid SIM-Karte mit Smart-Option L 2 Monate gratis (keine Vertragsbindung) 200 Min./200 SMS/500 MB Highspeed-Internet 25 Euro für Handynummern-Mitnahme
Original Amazon-Preis
9,90
Im Preisvergleich ab
?
Blitzangebot-Preis
7,92
Ersparnis zu Amazon 20% oder 1,98

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden