Security-Fail: OnePlus 6 nicht gegen modifizierte Firmware abgesichert

    12. Juni 2018, 14:53
    14 Postings

    Auch bei gesperrtem Bootloader kann ein beliebiges Image übertragen werden – Hersteller kündigt Patch an

    Seit seinem Start hat das OnePlus 6 größtenteils positive Rezensionen erhalten. Nun ist allerdings ein Sicherheitsproblem schwererer Natur entdeckt worden. Das Handy kann mit modifizierter Firmware gefüttert werden. Die eigentlich vorgesehenen Sicherheitsmechanismen funktionieren nicht.

    Will man auf einem Android-Handy alternative Firmware installieren, muss dafür zuvor der Bootloader entsperrt werden. Damit sind die Geräte grundlegend vor Manipulationen abgesichert. Nicht so beim OnePlus 6.

    Keine Bootloader-Entsperrung notwendig

    Wie Jason Donenfeld, Chef des Unternehmens Edge Security, in den XDA-Foren berichtet, akzeptiert das Handy auch mit gesperrtem Bootloader veränderte Firmware-Images. Es reicht, das Handy im Fastboot-Modus zu starten, an einen Rechner anzuschließen und das Image zu übertragen. Auch USB-Debugging muss nicht aktiviert sein, was eine zweite Schranke wäre. Prinzipiell bedeutet dies, dass jeder, der sich physisch Zugang zum Telefon verschaffen kann, in der Lage ist, bösartige Software aufzuspielen oder sich selbst alle Zugriffsrechte zu erlauben.

    Bei Android Police konnte man den Bericht von Donenfeld bestätigen, in dem man das Gerät in die alternative Recovery TWRP starten ließ, ohne den Bootloader entsperrt zu haben. Es ist nicht das erste Sicherheitsproblem des OnePlus 6. Denn unlängst wurde auch bekannt, dass das "Face Unlock"-Feature sich relativ leicht mit einem Foto austricksen lässt. Der Hersteller erklärt allerdings selber, dass diese Entsperrmethode weniger sicher sei, als etwa ein Fingerabdruck.

    OnePlus will bald Patch liefern

    Bezüglich des aktuellen Problems hat OnePlus mittlerweile reagiert. Man erklärt, Kontakt mit Donenfeld aufgenommen zu haben und will in Bälde ein Softwareupdate ausspielen, mit dem die Schwachstelle behoben wird. (red, 12.06.2018)

    • Das OnePlus 6 lässt sich einfach mit einem manipuliertem Firmware-Image füttern.
      foto: derstandard.at/pichler

      Das OnePlus 6 lässt sich einfach mit einem manipuliertem Firmware-Image füttern.

    Share if you care.