Werde Teil der Community - Registriere dich jetzt kostenlos! | Login
Anzeige
 
 

Problem-Phone OnePlus 2: Jetzt auch noch Sicherheitslücke im zweiten Bootloader

Matthias Zellmer 03.08.2017 - 10:51|1
Problem-Phone OnePlus 2: Jetzt auch noch Sicherheitslücke im zweiten Bootloader

Zum OnePlus 2 gibt es eine weitere Negativschlagzeile: Sicherheitsexperten haben eine Schwachstelle im zweiten Bootloader des Smartphones entdeckt, über die Angreifer die Kontrolle über das Gerät übernehmen können. Der Hersteller winkt aber nur müde ab.

Der zweite Bootloader des OnePlus 2 kann manipuliert werden. Angreifer können theoretisch über diese Schwachstelle die komplette Bootloader-Kette deaktivieren, um die Signal-Validierung für andere SBL-validierte Partitionen wie TrustZone (Laufzeitumgebung für Applikationen) und ABOOT zu deaktivieren. Das hat das Research-Team Aleph von HCL Technologies herausgefunden. Es konnte nach dem Patchen der 0xFEC0E90C und einem Neustart der manipulierten ABOOT den Bootloader entsperren. In einem solchen Fall können Angreifer auf alle Systemdateien zugreifen und das Smartphone kontrollieren.

Anzeige

Laut Aleph Security sind auch ältere Smartphone-Modelle wie das OnePlus One und das OnePlus X von der Sicherheitslücke betroffen. Das Team geht von Nachlässigkeit des Herstellers aus und hat nach eigenen Angaben diesen über die Anfälligkeit der Partitionen informiert, doch OnePlus habe abgewunken: Das Problem werde nicht behoben, da diese Smartphones das Ende des Produktzyklus erreicht hätten.

Manipulierter Bootloader des OnePlus 2 | (c) Aleph Security
Beweis der ABOOT-Manipulation: Umgeschriebene Fastboot-OEM-Befehle, so dass der Bootloader freigeschaltet ist.  | (c) Aleph Security

Nicht die erste Sicherheitslücke auf OnePlus-Smartphones

Es ist nicht die erste Sicherheitslücke, die Aleph Research auf OnePlus-Smartphones entdeckt: Im Mai berichteten die Experten, dass alle OnePlus-Modelle bis zum OnePlus 3T während des Durchführens von OTA-Updates angreifbar sind - egal, ob Oxygen OS oder Hydrogen OS auf den Geräten installiert ist. Weil der Hersteller OTA-Updates für die Geräte unverschlüsselt ausliefere und weil man auf die einzelnen Geräte jede beliebige vom Hersteller signierte Firmware aufspielen könne, könnten Angreifer theoretisch ein Software-Downgrade durchführen und dann weitere Schwachstellen im System ausnutzen.

Die Hacker hatten nach eigenen Angaben diese Schwachstellen bereits Ende Januar dem chinesischen Hersteller gemeldet und die übliche 90-Tages-Frist bis zur Veröffentlichung der Probleme um 14 Tage verlängert. Im Mai hatte OnePlus noch keine Patches bereitgestellt. Ob dies inzwischen geschehen ist, ist uns nicht bekannt.

Problem-Phone OnePlus 2

Das OnePlus 2 macht die Nutzer nicht glücklich: Erst die Performance-Probleme des schnell überhitzenden Snapdragon 810, dann entgegen der Ankündigung des Herstellers kein Update auf Android 7 Nougat und jetzt die kritischen Schwachstellen in der Software.

Mehr zum Thema: Android-Smartphone, Smartphone, Bootloader

Quelle: Aleph Research via XDA Developers

Kommentar schreiben

Die Kommentarfunktion ist hier leider nur für angemeldete Benutzer freigegeben.

Du bist nicht dabei?
Werde Teil der Community
Registriere Dich jetzt kostenlos! | Login
Sichere Dir Deinen Usernamen, damit Deine Beiträge und Bewertungen nicht verloren gehen.
 
Kommentare
  1. 03.08.17 13:06 Oannes (Youngster)

    "Der Hersteller winkt aber nur müde ab." Was sollte er aus seiner Sicht auch sonst tun?
    Jedoch, auch die verehrte Kundschaft winkt zunehmend müde ab. Seit dem One geht's mit Innovationen abwärts, mit dem Preis aufwärts.

    Preis-/Leistungsverhältnis hin oder her - von den Ankündigungen von Ende 2013 bis Mitte 2014 hinsichtlich einer "revolutionären Akku-Technolgie" war nie wieder etwas zu hören/lesen.

    War es das, OnePlus? Trotzdem gut, dass ihr noch da seid!

antworten
 
Aktuelle Geräte im Test
Anzeige
Anzeige