Notebookcheck
, , , , , ,
zu verknüpfen.
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
 

OnePlus: Sicherheitslücken ermöglichen Angriffe über OTA-Update

OnePlus: Sicherheitslücke ermöglicht Angriffe über OTA-Update
OnePlus: Sicherheitslücke ermöglicht Angriffe über OTA-Update
Mehrere Sicherheitslücken ermöglichen es, Besitzern eines OnePlus-Smartphones eine veraltete Version des Betriebssystems unterzujubeln.
Silvio Werner,
, , , , , ,
zu verknüpfen.
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
 

Angreifer können beim OnePlus 1, 2, 3, dem OnePlus 3(T) und OnePlus X gleich mehrere Sicherheitslücken ausnutzen. So akzeptieren die Smartphones jede beliebige, von OnePlus signierte Firmware-Version und lassen sich somit aus der Ferne downgraden. Für gewöhnlich verhindern Hersteller die Installation älterer Firmware via OTA.

Immerhin verhindert die Signierung die Installation eines an sich schadhaften Betriebssystems, Hacker könnten allerdings die nach einem Downgrade offenen Sicherheitslücken der veralteten Version gezielt ausnutzen. Der Angriff ist überhaupt erst möglich, da OnePlus Update seit einiger Zeit unverschlüsselt via HTTP verteilt, für eine erfolgreiches Downgrade muss sich der Hacker allerdings im gleichen WLAN befinden.

Obgleich die Wahrscheinlichkeit eines erfolgreichen Angriffs aufgrund der nötigen Nutzerinteraktion vergleichsweise gering ist, erstaunt die Reaktion von OnePlus: Der Sicherheitsforscher Roee Hay hat eigenen Angaben zufolge die Lücke bereits vor über 100 Tagen an den Hersteller gemeldet, bislang erfolgte allerdings noch entsprechendes Update.

Nutzer mit aktivierter Full Disk Encryption sind generell vor dem Angriff geschützt, alle anderen sollten die OTA-Updates nur in sicheren Drahtlosnetzwerken anstoßen. 

Quelle(n)

, , , , , ,
zu verknüpfen.
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
 
static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Silvio Werner
Silvio Werner - Senior Tech Writer - 3525 Artikel auf Notebookcheck veröffentlicht seit 2017
Ich bin seit über zehn Jahren journalistisch aktiv, den Großteil davon im Bereich Technologie. Dabei war ich unter anderem für Tom's Hardware und ComputerBase tätig und bin es seit 2017 auch für Notebookcheck. Mein aktueller Fokus liegt insbesondere auf Mini-PCs und auf Einplatinenrechnern wie dem Raspberry Pi – also kompakten Systemen mit vielen Möglichkeiten. Dazu kommt ein Faible für alle Arten von Wearables und insbesondere für Smartwatches. Hauptberuflich bin ich als Laboringenieur unterwegs, weshalb mir weder naturwissenschaftliche Zusammenhänge noch die Interpretation komplexer Messungen fern liegen.
Kontakt: silvio39191
Teilen Sie diesen Artikel um uns zu unterstützen. Jeder Link hilft!
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2017-05 > OnePlus: Sicherheitslücken ermöglichen Angriffe über OTA-Update
Autor: Silvio Werner, 13.05.2017 (Update: 15.05.2018)