OnePlus 3 Update aufgrund einer Sicherheitslücke gestoppt

Kurz ausgesetzt: Erst gestern berichteten wir darüber das der chinesische Hersteller OnePlus recht zügig ein OxygenOS Update für das OnePlus 3 parat hatte, welches das von der Community bemängelte RAM-Managment unter anderem fixen sollte. Doch wer nun nach wie vor geduldig auf das OxygenOS 3.2.0 OTA-Update wartet, muss nun leider enttäuscht werden. OnePlus hat die Verteilung gestoppt, da allen Anschein nach die Seriennummern des Smartphones unverschlüsselt durch das Netz gingen.

OnePlus 3 Update vorerst auf Eis

Damit ist im Grunde auch schon alles gesagt, beziehungsweise geschrieben. Denn eine offizielle Stellungnahme von OnePlus gibt es bis dato nicht. Im hauseigenen Forum ist nach der Bekanntgabe des aktuellen OxygenOS OTA-Update (over the air) für das OnePlus 3 eine Nachricht eines aufmerksamen Users aufgetaucht, dem aufgefallen ist dass OnePlus bei dem Update eine unverschlüsselte Server Verbindung via Post-Methode zu http://i.ota.coloros.com/post/Query_Update aufbaut und dabei gleich noch die IMEI Adresse des Android Smartphone übermittelt.

OnePlus 3 Update: OxygenOS 3.2.0 fixed das RAM-Management

Sicherheitslücke

Während prinzipiell nichts dagegen einzuwenden ist dass OnePlus die IMEI-Nummer – also die 15-stellige Seriennummer des Devices – einsehen und kontrollieren möchte, bevor es ein entsprechendes Update verfügbar macht, liegt das Problem darin das es unverschlüsselt geschieht.

Das bedeutet im Extremfall, jeder der sich in dem identischen Netzwerk befindet kann eure IMEI-Nummer lesen und wenn ihm danach die Lust steht euer Smartphone aus der Ferne sperren. Wer seine eigene IMEI gerade einmal auslesen möchte kann den Standard GSM-Code *#06# in seine Telefontastatur eingeben.

Zugegeben wäre ein solches Szenario schon generell ein Sicherheitsproblem innerhalb eures Netzwerkes, aber dennoch ein Umstand der eines Herstellers generell nicht würdig ist.

[Quelle: OnePlus Forum]