OnePlus: Oxygen OS 3.2.0-Rollout gestoppt, IMEI-Übertragung unverschlüsselt?
Kein Tag vergeht ohne Neuigkeiten von OnePlus: Die dritte Smartphone-Generation in unserem Test hat zwar sehr gut abgeschnitten, in Sachen Software gab es aber schon das ein oder andere Update. Oxygen OS 3.2.0 sollte eigentlich mit vielen Problemen aufräumen, jetzt haben die Chinesen den Rollout des Update allerdings gestoppt. Vermuten darf man, dass die unverschlüsselte Übertragung der IMEIs bei der Updateprüfung vielleicht mit ein Grund dafür ist und das wäre in der Tat ein dickes Ding.
Wie gestern im OnePlus-Forum bekannt wurde, scheint das OnePlus 3 bei der Suche nach Updates nicht nur eine unverschlüsselte Verbindung via POST-Methode an den Host http://i.ota.coloros.com/post/Query_Update zu machen, sondern dabei auch noch brav die IMEI(s) des Gerätes mitzuschicken. Diese wird dann offenbar als User Agent und in einem eigenen, als „imei“ betitelten Header-Eintrag und eben nicht per HTTPS und ergo in Klartext übertragen. Die Chancen, dass jemand in einem ungesicherten Netzwerk Eure Update-Anfragen mitprotokolliert und dann Zugriff auf Eure IMEI hat, sind zwar relativ gering, das Risiko allein reicht aber für Bauchschmerzen aus, wie ich finde.
Natürlich wird nichts so heiß gegessen, wie es gekocht wird, als reinen Zufall würde ich diese Sicherheitslücke allerdings nicht abtun. Ob man jetzt hier eher schlampig gearbeitet hat oder dem Ganzen nicht die richtige Bedeutung beigemessen hat, ist aktuell schwer zu sagen. Fest steht aber: Geräte können über die IMEI (eben DAS Identifikationsmerkmal Eures Gerätes im Provider-Netz) als gestohlen oder verloren gemeldet werden und somit auch die Aktivierung im jeweiligen Netz schwierig bis unmöglich machen. Man sollte – Stand heute – also schauen, in welchem Netz – wenn überhaupt – man sein OnePlus 3 aktuell nach Updates suchen lässt.
Gemäss der Prämisse „Lieber schlechte PR als gar keine PR“ scheint OnePlus somit leider wieder ein tolles Fettnäpfchen erwischt zu haben. Eigentlich schade, ist das OnePlus 3 doch ein absolut edles Smartphone zu einem tollem Preis-/Leistungsverhältnis. Schade, dass es dann wieder an anderen Dingen – hier der Sicherheit – hapert. Man darf gespannt sein, wie sich das Unternehmen zu diesem Vorwurf äussert und wann der Rollout von Oxygen OS weitergeht – idealerweise auch mit dem von offenbar vielen Usern gemeldeten Fix für nicht mehr erkannte SIM-Karten. OnePlus jedenfalls hält sich hier noch bedeckt und spricht von „diversen Problemen bei Updates, die aktuell untersucht werden“.
Wir halten Euch auf dem Laufenden!
(via Reddit)
Wird geladen ...
Hmmmm ich habe gestern das Update gemacht und habe bisher absolut keine Probleme.
Irgenwie scheint beim OnePlus mal wieder der User gleichzeitig Betatester zu sein. Ich hatte schon mit dem Gedanken gespielt, mir das Smartphone zu gönnen. Nun bin ich aber doch froh, noch gewartet zu haben.
@Jöerg R das verstehe ich jetzt nicht ganz. Die hier beschriebene Sicherheitslücke hat ja nun mal gar nichts mit der Funktionalität des Gerätes zu tun. Die ist Top, wie eigentlich alle Tests bestätigen. Dass bei einem komplexen System aus Smartphone, Betriebssystem und Apps einige Fehler erst gefunden werden nachdem eine breite Masse das Gerät im täglichen Gebrauch hat ist keine Besonderheit. Da steht OnePlus in einer Reihe mit allen anderen Herstellern. Ich wenigstens kenne keine Neuerscheinung in den letzten Jahren bei der nicht relativ schnell Bugs gemeldet wurden. Das ist übrigens nicht nur bei Smartphones so sondern auch bei Linux, Windows, MS Office, Oracle Datenbanken, Mercedes, Audi, SAP, Steuerungssoftware für Kraftwerke… einfach jedes komplexe System wird bei der Auslieferung Fehler haben. Insofern: Ja, der User ist „Betatester“, überall. Wenn man das nicht will, dann kann man eben kein neues Top-Modell kaufen.
OnePlus schiebt hier ja regelmäßig fixes nach. Andere Hersteller wissen auch um Probleme, liefern aber keine Lösung.
@Arne
Ich stimme dir uneingeschränkt zu.
Dieser Betatester-Spruch war doch nur um überhaupt irgendeinen Kommentar abgegeben zu können.
Betatester wäre der User, wenn irgendwas grundlegend nicht funktionieren oder das Gerät sporadisch neustarten würde, was beides nicht der Fall ist.
Um beim Phrasendreschen zu bleiben:
Wenn man keine Ahnung hat…
Oneplus und irgendwelche Äußerungen? Der Witz des Tages.
Die SIMs werden nur dann nicht erkannt, wenn man SIP Konten eingerichtet hat, vgl. hier
https://forums.oneplus.net/threads/oxygenos-3-2-0-ota-sim-problem.453972/
Auch das nachträgliche Einrichten eines SIP Kontos deaktiviert die SIMs, lässt das Smartphone heiss werden und entlädt den Akku mit rund 1% pro Minute. Entfernt man die Konten, bereinigt den Appcache gehen die SIMs wieder.
Ich hatte das Oneplus bereits früh gemeldet, aber man kriegt über den Support nur FAQ Antworten und wird nicht für ernst genommen.
@Arne: Das bei sensiblen Daten keine Verschlüsselung für die Übertragung genutzt wurde, hat nix damit zu tun, das etwas „komplex“ ist. Das ist einfach eine Grundlegende Entscheidung die man beim Coding trifft und wenn es da keine Standards gibt, die so etwas regeln, ist das ganze halt grob fahrlässig und in heutiger Zeit unprofessionell. Die Frage ist eher, wenn es schon an solchen Basics scheitert, was da noch alles dort drin schlummert … Das Gerät ist sicher super, aber ich würde mich nicht bei denen von der Softwareseite her gut aufgehoben fühlen …
Ich finde das Vorgehen von OnePlus hier sehr gut. Sie testen bis zu einem bestimmten Punkt intern und schicken die Updates dann raus. Wer skeptisch ist, wartet ein paar Tage mit dem Update. Aber ich würde behaupten, dass 90% alle OnePlus Kunden in die Kategorie „Gib-mir-neue-Features-sofort“ fallen und somit machen sie hier doch alles richtig.
Ich kann mich nur über Leute wundern, die in jene erwähnte Kategorie fallen und sich dann aber über kleine Bugs beschweren. Man kann eben nicht beides gleichzeitig haben. Das einzige was OnePlus hier besser machen könnte, wären zwei getrennte Updatekanäle (keine Ahnung ob es sowas nicht vll auch schon gibt). Der sichere Kanal würde die Updates eben dann bekommen, wenn das aktuelle Update 7 Tage ohne große Bugs gelaufen ist.
Wie Oink schon schreibt. Das ist kein „Bug“. Da läuft grundsätzlich was schief. Warum gibt es überhaupt unverschlüsselte Anfragen ins Netz vom System? Das sollte von Anfang an ausgeschlossen werden.