OnePlus 3: Neue Firmware gestoppt, weil IMEI per OTA abgreifbar war

Das OnePlus 3 ist seit Tagen in den Schlagzeilen, doch nicht immer sind diese für das Unternehmen und seine Kunden gut: Denn gestern musste das chinesische Startup die Verteilung von OxygenOS 3.2.0 stoppen. Das Unternehmen sprach lediglich von Problemen, allerdings dürfte man sich einen ziemlich schwerwiegenden Sicherheitsfehler geleistet haben.
Am Montag hat OnePlus begonnen, das von vielen langerwartete Update auf Version 3.2.0 der hauseigenen Android-Fassung OxygenOS zu verteilen, Deutschland war das erste Land, das zum Zuge kam. Doch das Unternehmen hat die Verteilung wenig später gestoppt, in einem Update im Forum heißt es, dass man "einige Berichte über Probleme während des Upgrade-Vorgangs erhalten habe". Weiter schreibt man, dass man diese derzeit untersuche und den Rollout deshalb gestoppt habe.

OnePlus 3OnePlus 3OnePlus 3OnePlus 3

Unverschlüsselte OTA-Abfrage

Laut Reddit sowie einem Beitrag im OnePlus-Forum ist es ein ziemlicher Anfängerfehler, den sich das Unternehmen hier geleistet hat: Denn im Wesentlichen wird bzw. wurde jedes Mal, wenn ein OnePlus 3-Besitzer überprüft hat, ob ein OTA-Update bereitsteht, die IMEI (International Mobile Equipment Identity) des Geräts übermittelt - und zwar im Klartext und nicht (HTTPS-)verschlüsselt.

Denn bei einer derartigen Überprüfung sendet das Gerät einen POST-Request, also im Prinzip auf Knopfdruck, samt IMEI an http://i.ota.coloros.com/post/Query_Update (OTA steht natürlich für Over The Air) und das eben über eine herkömmliche HTTP-Verbindung.


Das ist dann kein Problem, wenn man diese Anfrage über ein gesichertes, also verschlüsseltes kabelloses Netzwerk durchführt. Ist man aber über ein offenes WLAN mit dem Internet verbunden, dann könnte eine derartige OTA-Abfrage genutzt werden, um die IMEI abzugreifen. Diese wiederum kann theoretisch missbraucht werden, um ein Gerät in den Datenbanken eines Mobilfunkers als gestohlen oder verloren zu markieren und es so zu sperren.

In der Praxis ist es allerdings höchst unwahrscheinlich, dass die IMEI auf diese Weise abgegriffen wird, zudem ist eine etwaige Sperrung nicht irreversibel. Für OnePlus ist dieser Sicherheits-Fauxpas aber zweifellos alles andere als schmeichelhaft.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!