Er zit een fout in de bootloader van de OnePlus 6, die ervoor zorgt dat de beveiliging gemakkelijk gepasseerd kan worden bij het flashen van images. Kwaadwillenden zouden hierdoor eenvoudig de volledige controle over de smartphone kunnen krijgen.
Een ontwikkelaar met het pseudoniem zx2c4 ontdekte de kwetsbaarheid als eerste, en slaagde er in een gemodificeerde image te flashen op de OnePlus 6, zonder hier eerst de beveiliging van de bootloader voor te hoeven uitschakelen, zo meldt een post op de ontwikkelaarscommunity XDA Developers. Om de image, in dit geval de custom recovery TWRP, te flashen was het tevens niet nodig om usb debugging aan te zetten, waardoor alleen fysiek toegang nodig is tot het apparaat, een usb-verbinding, en een pc.
Alhoewel de kwetsbaarheid ervoor zorgt dat eigenaren van een OnePlus 6 gemakkelijk custom roms installeren, is het ook een beveiligingsrisico. Een kwaadwillende hoeft alleen maar de smartphone in handen te krijgen om software te flashen waarmee de volledige controle is te verkrijgen.
OnePlus heeft op de vondst gereageerd door te zeggen dat het zal werken aan een software-update om de kwetsbaarheid te repareren. Wanneer die patch uit moet komen is echter nog niet bekend.