Es wurde eine schwerwiegende Sicherheitslücke im Bootloader des OnePlus 6 entdeckt. Dieser Exploit, der physischen Zugriff erfordert, umgeht alle Sicherheitsmaßnahmen.
Update 09.06.18 14:31 Uhr CT: OnePlus hat zu diesem Thema eine Stellungnahme abgegeben.
Update 15.06.18 10:47 Uhr: OnePlus hat mit der Einführung begonnen OxygenOS 5.1.7 mit einem Fix für die Bootloader-Schwachstelle.
Das OnePlus 6 war offiziell gemacht Mitte letzten Monats. Das Gerät gelangt erst seit kurzem in unseren Foren in die Hände von Verbrauchern und Entwicklern, und wir hören bereits von der geleisteten Arbeit. Ein Offizieller Build von TWRP ist bereits verfügbar und die Arbeiten schreiten voran schön auf einem inoffiziellen LineageOS 15.1 GSI. Das OnePlus 6 erhält nicht nur Aufmerksamkeit von Nutzern, die sich für das Gerät für den persönlichen Gebrauch interessieren oder Projekte beginnen jedoch, da Sicherheitsforscher beginnen, das Gerät genauer unter die Lupe zu nehmen, um herauszufinden, was sie können finden.
Einer dieser Forscher, Jason Donenfeld, Präsident von Edge Security LLC, auf XDA auch bekannt als zx2c4, hat eine Schwachstelle auf dem Gerät entdeckt, die es ihm ermöglicht, jedes beliebige modifizierte Image zu booten umgeht Bootloader-Schutzmaßnahmen (z. B. ein gesperrter Bootloader). (Um die Sicherheitslücke auszunutzen, ist physischer Zugriff auf das Gerät erforderlich.)
Diese Sicherheitslücke ermöglicht es einem Angreifer mit physischem Zugriff und einer Tethering-Verbindung zu einem PC, die Kontrolle über das Gerät zu übernehmen. Wenn das Boot-Image mit unsicherem ADB und ADB als Root standardmäßig geändert wird, dann hat ein Angreifer physischen Zugriff Sie haben die vollständige Kontrolle über das Gerät. Anders als das berüchtigte „Hintertür" (was nicht wirklich eine Hintertür war) auf dem OnePlus 5T erfordert die Ausnutzung dieser Schwachstelle nicht, dass der Benutzer bereits das USB-Debugging aktiviert hat. Das bedeutet, dass ein Angreifer nur das Gerät in die Hände bekommen muss – mehr nicht – um vollen Zugriff darauf zu erhalten, wenn er diese Schwachstelle im OnePlus 6 ausnutzt.
Der Fehler wurde mehreren Ingenieuren von OnePlus gemeldet und Jason Donenfeld hat bestätigt, dass ein Mitglied des Sicherheitsteams dies getan hat nahm den Bericht zur Kenntnis. Wir werden dieser Angelegenheit nachgehen, sobald weitere Informationen verfügbar sind. Wir hoffen, dass schnell ein Patch für den Bootloader veröffentlicht wird, damit dieses Problem behoben werden kann.
Update 1: OnePlus-Erklärung
OnePlus hat hierzu eine Stellungnahme abgegeben:
„Wir bei OnePlus nehmen Sicherheit ernst. Wir stehen mit dem Sicherheitsforscher in Kontakt und ein Software-Update wird in Kürze veröffentlicht.“ – OnePlus-Sprecher
Wir werden dieses Thema weiterhin verfolgen und Sie informieren, sobald ein Software-Update verfügbar ist.
Update 2: Fix
OnePlus hat am 15. Juni mit der Einführung von OxygenOS 5.1.7 für das OnePlus 6 begonnen eine Lösung für die Bootloader-Schwachstelle.
Dieser Artikel wurde aktualisiert, um darauf hinzuweisen, dass ein Angreifer physischen Zugriff auf das Gerät sowie eine Tethering-Verbindung zu einem PC benötigt, um die Sicherheitslücke auszunutzen.