OnePlus 3: Neue Firmware gestoppt, weil IMEI per OTA abgreifbar war
langerwartete Update auf Version 3.2.0 der hauseigenen Android-Fassung OxygenOS zu verteilen, Deutschland war das erste Land, das zum Zuge kam. Doch das Unternehmen hat die Verteilung wenig später gestoppt, in einem Update im Forum heißt es, dass man "einige Berichte über Probleme während des Upgrade-Vorgangs erhalten habe". Weiter schreibt man, dass man diese derzeit untersuche und den Rollout deshalb gestoppt habe.
Denn bei einer derartigen Überprüfung sendet das Gerät einen POST-Request, also im Prinzip auf Knopfdruck, samt IMEI an http://i.ota.coloros.com/post/Query_Update (OTA steht natürlich für Over The Air) und das eben über eine herkömmliche HTTP-Verbindung.
Das ist dann kein Problem, wenn man diese Anfrage über ein gesichertes, also verschlüsseltes kabelloses Netzwerk durchführt. Ist man aber über ein offenes WLAN mit dem Internet verbunden, dann könnte eine derartige OTA-Abfrage genutzt werden, um die IMEI abzugreifen. Diese wiederum kann theoretisch missbraucht werden, um ein Gerät in den Datenbanken eines Mobilfunkers als gestohlen oder verloren zu markieren und es so zu sperren.
In der Praxis ist es allerdings höchst unwahrscheinlich, dass die IMEI auf diese Weise abgegriffen wird, zudem ist eine etwaige Sperrung nicht irreversibel. Für OnePlus ist dieser Sicherheits-Fauxpas aber zweifellos alles andere als schmeichelhaft.
Am Montag hat OnePlus begonnen, das von vielen Unverschlüsselte OTA-Abfrage
Laut Reddit sowie einem Beitrag im OnePlus-Forum ist es ein ziemlicher Anfängerfehler, den sich das Unternehmen hier geleistet hat: Denn im Wesentlichen wird bzw. wurde jedes Mal, wenn ein OnePlus 3-Besitzer überprüft hat, ob ein OTA-Update bereitsteht, die IMEI (International Mobile Equipment Identity) des Geräts übermittelt - und zwar im Klartext und nicht (HTTPS-)verschlüsselt.Denn bei einer derartigen Überprüfung sendet das Gerät einen POST-Request, also im Prinzip auf Knopfdruck, samt IMEI an http://i.ota.coloros.com/post/Query_Update (OTA steht natürlich für Over The Air) und das eben über eine herkömmliche HTTP-Verbindung.
Das ist dann kein Problem, wenn man diese Anfrage über ein gesichertes, also verschlüsseltes kabelloses Netzwerk durchführt. Ist man aber über ein offenes WLAN mit dem Internet verbunden, dann könnte eine derartige OTA-Abfrage genutzt werden, um die IMEI abzugreifen. Diese wiederum kann theoretisch missbraucht werden, um ein Gerät in den Datenbanken eines Mobilfunkers als gestohlen oder verloren zu markieren und es so zu sperren.
In der Praxis ist es allerdings höchst unwahrscheinlich, dass die IMEI auf diese Weise abgegriffen wird, zudem ist eine etwaige Sperrung nicht irreversibel. Für OnePlus ist dieser Sicherheits-Fauxpas aber zweifellos alles andere als schmeichelhaft.
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Mobiltelefone:
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen