-Anzeige-

OnePlus: Oxygen OS 3.2.0-Rollout gestoppt, IMEI-Übertragung unverschlüsselt?

6. Juli 2016 Kategorie: Android, Software & Co, geschrieben von: Oliver Pifferi

OnePlus3_Front_BackKein Tag vergeht ohne Neuigkeiten von OnePlus: Die dritte Smartphone-Generation in unserem Test hat zwar sehr gut abgeschnitten, in Sachen Software gab es aber schon das ein oder andere Update. Oxygen OS 3.2.0 sollte eigentlich mit vielen Problemen aufräumen, jetzt haben die Chinesen den Rollout des Update allerdings gestoppt. Vermuten darf man, dass die unverschlüsselte Übertragung der IMEIs bei der Updateprüfung vielleicht mit ein Grund dafür ist und das wäre in der Tat ein dickes Ding.

Wie gestern im OnePlus-Forum bekannt wurde, scheint das OnePlus 3 bei der Suche nach Updates nicht nur eine unverschlüsselte Verbindung via POST-Methode an den Host http://i.ota.coloros.com/post/Query_Update zu machen, sondern dabei auch noch brav die IMEI(s) des Gerätes mitzuschicken. Diese wird dann offenbar als User Agent und in einem eigenen, als „imei“ betitelten Header-Eintrag und eben nicht per HTTPS und ergo in Klartext übertragen. Die Chancen, dass jemand in einem ungesicherten Netzwerk Eure Update-Anfragen mitprotokolliert und dann Zugriff auf Eure IMEI hat, sind zwar relativ gering, das Risiko allein reicht aber für Bauchschmerzen aus, wie ich finde.

Natürlich wird nichts so heiß gegessen, wie es gekocht wird, als reinen Zufall würde ich diese Sicherheitslücke allerdings nicht abtun. Ob man jetzt hier eher schlampig gearbeitet hat oder dem Ganzen nicht die richtige Bedeutung beigemessen hat, ist aktuell schwer zu sagen. Fest steht aber: Geräte können über die IMEI (eben DAS Identifikationsmerkmal Eures Gerätes im Provider-Netz) als gestohlen oder verloren gemeldet werden und somit auch die Aktivierung im jeweiligen Netz schwierig bis unmöglich machen. Man sollte – Stand heute – also schauen, in welchem Netz – wenn überhaupt – man sein OnePlus 3 aktuell nach Updates suchen lässt.

Gemäss der Prämisse „Lieber schlechte PR als gar keine PR“ scheint OnePlus somit leider wieder ein tolles Fettnäpfchen erwischt zu haben. Eigentlich schade, ist das OnePlus 3 doch ein absolut edles Smartphone zu einem tollem Preis-/Leistungsverhältnis. Schade, dass es dann wieder an anderen Dingen – hier der Sicherheit – hapert. Man darf gespannt sein, wie sich das Unternehmen zu diesem Vorwurf äussert und wann der Rollout von Oxygen OS weitergeht – idealerweise auch mit dem von offenbar vielen Usern gemeldeten Fix für nicht mehr erkannte SIM-Karten. OnePlus jedenfalls hält sich hier noch bedeckt und spricht von „diversen Problemen bei Updates, die aktuell untersucht werden“.

Wir halten Euch auf dem Laufenden!

(via Reddit)



Anzeige: Infos zu neuen Smartphones, Tablets und Wearables sowie zu aktuellen Testberichten, Angeboten und Aktionen im Huawei News Hub.

Über den Autor: Oliver Pifferi

Digital Native, der trotzdem gerne das Mittelalter erlebt hätte und chronischer Device-Switcher. Multimediafreak. England-Fan. Freier Autor & Tech Blogger. Hobbyphilosoph. Musik-Enthusiast. Querdenker. Zyniker. Hoffnungsvoller Idealist. Gladbacher Borusse und hauptberuflicher IT-Consultant. Auch zu finden bei Twitter, Google+, Facebook, Instagram und XING. PayPal-Kaffeespende an den Autor.

Oliver hat bereits 431 Artikel geschrieben.