Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.

2 Min Lesezeit 25 Kommentare

OnePlus muss sein Update-System patchen

Gefälschte Updates können die System-Software von OnePlus-Smartphones downgraden oder komplett austauschen. Datenverlust oder Missbrauch Eurer Geräte sind möglich. OnePlus reagiert seit Wochen nicht auf die Sicherheits-Experten, die inzwischen die Anleitung für den Exploit veröffentlicht haben. Ihr könnt Euch trotzdem selbst schützen.

Falls Ihr ein OnePlus-Smartphone verwendet, solltet Ihr Euch in den kommenden Tagen von öffentlichen WLANs fernhalten. Gewiefte Hacker können Euch über diesen Kanal ein vermeintliches Software-Update überspielen, das sich als trojanisches Pfernd entpuppt. Dies geht zumindest aus dem jüngsten Bericht der indischen Sicherheitsfirma HCL Technologies hervor. Indien ist für OnePlus einer der wichtigsten Märkte.

Eine so genannte Man-in-the-Middle-Attacke erlaubt es Angreifern im selben WLAN, ein vermeintliches OTA-Update an Euer OnePlus-Gerät zu senden. In ihm kann sich eine ältere Version von Oxygen OS befinden, die ihrerseits alte Android-Sicherheitslücken wieder öffnet und so weitere Angriffe ermöglicht. Ein Proof-of-Concept-Video zeigt ein erfolgreiches Downgrade.

Die Schwachstellen konnten in erster Linie entdeckt werden, weil OnePlus die Updates unverschlüsselt an seine Nutzer ausliefert. Weitere Schwachstellen in OnePlus' Update-System erlauben das Austauschen der Firmware durch eine ältere oder eine komplett andere Version, also Oxygen OS durch etwa Hydrogen OS; selbst wenn der Bootloader des Gerätes gesperrt ist.

Wie bin ich mit meinem OnePlus geschützt?

Da die OnePlus-Geräte OnePlus 3T, OnePlus 3, OnePlus 2, OnePlus X sowie OnePlus One auch mit der Software der jüngsten Generation betroffen sind, reicht der sonst übliche Tipp "Macht ein Software-Update auf die jüngste Oxygen-OS-Version" nicht aus; beziehungsweise geht dieser vielleicht sogar nach hinten los. Das aktuelle Problem muss OnePlus innerhalb seiner Update-Infrastruktur beheben.

system up to date
Wenn das Update keins ist, wird der Kunde schnell frustriert. / © AndroidPIT

Die Sicherheitsexperten erklären, dass viele Angriffsvektoren entfallen, wenn Ihr als Nutzer bestimmte Sicherheitsvorkehrungen beachtet. Die erste ist, wie oben schon erwähnt, dass Ihr keine öffentlichen WLAN-Netzwerke betretet.

Des Weiteren solltet Ihr die Full Disk Encryption sowie Secure Boot aktivieren. Dies macht Ihr, indem Ihr sowohl eine Displaysperre einrichtet als auch den Speicher Eures Gerätes mit Ihr verschlüsselt. Wie das ganze System funktioniert und wie Ihr das macht, erklären wir Euch im Spezial-Artikel zu Displaysperre und Diebstahlschutz.

Dank ist diese Seite frei von Werbebannern

Top-Kommentare der Community

25 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  •   4
    Gelöschter Account 02.06.2017 Link zum Kommentar

    Ist das das Update auf 7.1.1


  •   40
    Gelöschter Account 16.05.2017 Link zum Kommentar

    @ Eric Herrmann

    "Ist auch unwahrscheinlich."

    Eine Verharmlosung anzuführen, scheint mir da nicht der richtige Ansatz zu sein. Selbst wenn nur ein geringer Prozentsatz besteht betroffen zu sein, sollte man doch Vorsicht walten lassen. Wieviele machen sich mittlerweile daran ein offenes WLAN vorzugaukeln um den Ahnungslosen und Nutzern dann ihre Daten zu entreißen. Lieber einmal skeptischer an die Sache ran gehen als immer leichtsinnig und gleichgültig handeln.


  •   40
    Gelöschter Account 16.05.2017 Link zum Kommentar

    Unvernunft und Gleichgültigkeit sind des Hackers größte Geschenke. Mir scheint, es sollten mal vielmehr Leute davon betroffen sein bis endlich mal ein Umdenken in den Köpfen statt findet. Aber es ist auch diese Geizmentalität, weil man sich in jedes offene WLAN klinken muss um jaaaa sein eigenes Datenvolumen zu schonen. Sicherheitsbedenken werden dafür völlig ausgeblendet. Ganz trauriges Phänomen wie ich finde aber habe dann auch kein Mitleid mit jenen, die mal betroffen wären. Nutze öffentliche Zugänge überhaupt nicht und habe ich auch in der Zukunft nicht vor.


  • Der Angreifer kann soviel downgraden wie er will, wenn er keinen physischen Zugriff auf das Gerät nach dem downgrade hat wird ihm das nichts nützen. Da besagte Sicherheitslücken in den älteren Versionen(4.0 - 4.0.2) es ermöglicht haben den bootloader zu entsperren ohne vorherige Erlaubnis des Nutzers. Danach müsste der Angreifer dann noch eine Custom Recovery aufspielen und wenn die Daten dann noch verschlüsselt sind bringt ihm das auch wieder nichts. Erst wenn der Angreifer das Gerät dem Besitzer unbemerkt wieder zukommen ließe, dieser zwei riesige Warnhinweise beim Starten übersieht die soviel Aussagen wie: "Achtung dein Smartphone ist unsicher!", dann noch das Gerät entschlüsselt, hätte der Angreifer Zugriff auf die Daten.
    Dass OP seine Updates unverschlüsselt übermittelt ist schon seit einem Jahr bekannt, die Sicherheitslücken seit Anfang diesen Jahres und jetzt wird ein riesiges Fass aufgemacht. Keiner weiß wieso OP das plötzlich gemacht hat und ich heiße es auch nicht für gut aber man sollte mal den Ball flach halten.

    Über 50 Ecken kommt man in jedes System rein. Mal wieder viel Lärm um nichts.


    •   32
      Gelöschter Account 16.05.2017 Link zum Kommentar

      Sicherlich gibt es das bei jedem System, aber es gibt nun mal Mittel und Wege ,in solch ein Lückenhaftes OS schneller einzudringen und das wird hier aufgezeigt und dem Hersteller aufgezwungen ,diese unverzüglich zu schließen!

      Was spielst Du dich hier so auf ?


      • Wo spiele ich mich auf? Nur weil irgendein Typ jetzt ein youtube Video darüber gemacht hat rasten alle aus. Die bootloader unlock Sicherheitslücke ist mir und vielen anderen auf xda schon im Januar bekannt gewesen. Falls du es immer noch nicht kapiert hast handelt es sich hierbei lediglich um die unverschlüsselte Übermittlung der Updates und nicht direkt um eine Angreifbarkeit des OS.


    • Sehe schon du hast ein oneplus. Klar kann man mit der Lücke schaden machen auch ohne Einwilligung des Nutzer, wenn du wüsstest wie gut Häcker heutzutage sind, würdest du anderes denken. Jede Lücke egal in welchem System ist ein Problem und sollte schnell geschlossen werden solange es nur die ist, weil es werden mit Sicherheit noch mehr auftauchen und dann ist die Arbeit größer und bracht mehr Aufwand.


      • Da spricht wohl ein Experte... "Häcker" OMG


      • Nur einer der sich etwas auskennt, seit denn c64 tagen programieren ich etwas hier und da, nichts Weltbewegendes oder auch schlimmes, aber wer Software benutzt egal welche, sollte sich auch mal mit den gefahren beschäftigen und sich etwas wissen aneignen. So hätten es Häcker viel schwerer und Lücken schneller erkannt. Linux ist das beste Beispiel wie es gehen kann um nicht überrascht zu werden. Android basiert zwar auch auf Linux aber leider nur der Kernel. Der Rest ist zu verschlossen.


  • Für mich unverständlich wie jemand so geizig sein kann um so ein Produkt zu kaufen. Da ist mein Geld lieber in Apple oder Samsung investiert, da kriegt man auch keine billige Kopie der eben genannten sowie mehr Sicherheit als von dieser Briefkasten Firma.


    •   32
      Gelöschter Account 16.05.2017 Link zum Kommentar

      Samsung wohl ehr weniger die machen es auch nicht gerade besser ,dann ehr zu einem Nexus/Pixel oder Apple IPhone.

      MaWe


    •   27
      Gelöschter Account 16.05.2017 Link zum Kommentar

      AnglerBla!


    •   40
      Gelöschter Account 16.05.2017 Link zum Kommentar

      @ Der alte Fischer

      "Für mich unverständlich wie jemand so geizig sein kann um so ein Produkt zu kaufen."

      Sollte man deiner Meinung nach also der Konkurrenz keine Chance geben und somit nur renommierten Firmen das Geld in den Rachen werfen? Vergleichen kann sich oftmals lohnen und jede Herstellerfirma kann mal von sicherheitsrelevanten Problemen betroffen sein. Auch große namenhafte Firmen. Apple reagiert sehr schnell auf solche Dinge aber Samsung eher weniger.


  • Eine 24/7 VPN-Verbindung und es macht keinen unterschied mehr, ob zuhause das WLAN oder draussen irgend ein Hotspot verwendet wird 😞
    Als wären nicht schlimmere Angriffe möglich, wenn sich die Verbindung in Echtzeit manipulieren lässt 😑


  • Na da hab ich ja kein Problem damit denn ich lasse Unterwegs die Updatesuche fürs OS als auch für Apps ausgeschaltet. Mir ist mal ein Update schief gegangen und wenn ich mir jetzt vortstelle meine Phone verwandelt sich on the go mal eben in einen Backstein, so dringend kann ich kein Update brauchen.


    •   32
      Gelöschter Account 16.05.2017 Link zum Kommentar

      Wieder so einer "Ich"brauche keine Updates ,weil bei mir "Ich Mensch funktioniert ja alles " 🙄

      Aber wem interessiert deine arrogante Meinung und Haltung ?

      Solch Kommentar ,braucht hier mittlerweile auch keiner mehr !

      Es wird hier eindeutig auf diese Gefahr hingewiesen, was auch Gut so ist .


      Wenn Du es nicht brauchst und Es eh besser weißt ,dann überlese doch den Artikel einfach ,ohne solch sinnfreier Äusserung " brauch ich alles nicht,also brauchen andere es auch nicht zu erfahren " und müssen auch nicht drauf hingewiesen werden .

      Herzlichen Dank für dein Verständnis !👍🏻


      • In welchem Abschnitt erwähnt er denn, das er absolut keine Updates braucht? Er hat doch lediglich erwähnt das ihm das in einem öffentlichen WLAN nicht passieren kann, weil er die Updatesuche (für OS und Apps) außerhalb des heimischen WLANs ausgeschaltet lässt.


    •   40
      Gelöschter Account 16.05.2017 Link zum Kommentar

      "....so dringend kann ich kein Update brauchen."

      So wichtig und dringend ist aber auch kein Phone. Ist es halt mal aus, was ne Tragödie🙈


      •   32
        Gelöschter Account 16.05.2017 Link zum Kommentar

        Danke M.W ,brauch ich es nicht nochmal doppelt Posten.


        Ja ihm wird schon nichts passieren ,wenn er das ausgeschaltet hat .

        Wie auch beim Broadcom Chip W LAN Bug 😁

        Wo man im schlimmsten Fall ,komplett das Smartphone übernehmen kann .


        Wer braucht also schon Updates ? 🙄


  •   21
    Gelöschter Account 15.05.2017 Link zum Kommentar

    Ohje was die immer finden Hab eher 6 richtige im Lotto.

Zeige alle Kommentare

Empfohlene Artikel

Dank ist diese Seite frei von Werbebannern