Wie gestern im OnePlus-Forum bekannt wurde, scheint das OnePlus 3 bei der Suche nach Updates nicht nur eine unverschlüsselte Verbindung via POST-Methode an den Host http://i.ota.coloros.com/post/Query_Update zu machen, sondern dabei auch noch brav die IMEI(s) des Gerätes mitzuschicken. Diese wird dann offenbar als User Agent und in einem eigenen, als „imei“ betitelten Header-Eintrag und eben nicht per HTTPS und ergo in Klartext übertragen. Die Chancen, dass jemand in einem ungesicherten Netzwerk Eure Update-Anfragen mitprotokolliert und dann Zugriff auf Eure IMEI hat, sind zwar relativ gering, das Risiko allein reicht aber für Bauchschmerzen aus, wie ich finde.
Natürlich wird nichts so heiß gegessen, wie es gekocht wird, als reinen Zufall würde ich diese Sicherheitslücke allerdings nicht abtun. Ob man jetzt hier eher schlampig gearbeitet hat oder dem Ganzen nicht die richtige Bedeutung beigemessen hat, ist aktuell schwer zu sagen. Fest steht aber: Geräte können über die IMEI (eben DAS Identifikationsmerkmal Eures Gerätes im Provider-Netz) als gestohlen oder verloren gemeldet werden und somit auch die Aktivierung im jeweiligen Netz schwierig bis unmöglich machen. Man sollte – Stand heute – also schauen, in welchem Netz – wenn überhaupt – man sein OnePlus 3 aktuell nach Updates suchen lässt.
Gemäss der Prämisse „Lieber schlechte PR als gar keine PR“ scheint OnePlus somit leider wieder ein tolles Fettnäpfchen erwischt zu haben. Eigentlich schade, ist das OnePlus 3 doch ein absolut edles Smartphone zu einem tollem Preis-/Leistungsverhältnis. Schade, dass es dann wieder an anderen Dingen – hier der Sicherheit – hapert. Man darf gespannt sein, wie sich das Unternehmen zu diesem Vorwurf äussert und wann der Rollout von Oxygen OS weitergeht – idealerweise auch mit dem von offenbar vielen Usern gemeldeten Fix für nicht mehr erkannte SIM-Karten. OnePlus jedenfalls hält sich hier noch bedeckt und spricht von „diversen Problemen bei Updates, die aktuell untersucht werden“.
Wir halten Euch auf dem Laufenden!
(via Reddit)