OnePlus lost beveiligingsprobleem in bootloader OnePlus 6 op

OnePlus heeft een kwetsbaarheid in de bootloader van de OnePlus 6 verholpen. Het beveiligingsgat maakte het mogelijk om images te flashen zonder de bootloader te ontsleutelen en usb debugging in te schakelen.

OnePlus maakt niet veel woorden vuil aan het presenteren van de oplossing en stelt alleen dat de 'bootloader is bijgewerkt voor verbetering van de veiligheid'. Met deze update zit OxygenOS op versie 5.1.7. De update wordt momenteel 'uitgerold', wat betekent dat het in het ene land langer kan duren dan in het andere voordat de update werkelijk propageert. Via vpn naar een land verbinden waar de update al wel online staat, is een optie om het wachten te omzeilen.

De kwetsbaarheid werd ontdekt door de ontwikkelaar zx2c4, die het lukte om een aangepaste image te flashen op een OP6 met beveiligde bootloader. Hoewel dit het installeren van een aangepast os vergemakkelijkt, betekent het ook dat een kwaadwillende alleen fysiek toegang moet hebben tot de telefoon om binnen te dringen. Het lock screen en diens beveiliging omzeilen, was niet nodig.

Door Mark Hendrikman

Redacteur

Feedback • 16-06-2018 10:16
28 • submitter: AnonymousWP

16-06-2018 • 10:16

28 Linkedin

Submitter: AnonymousWP

Lees meer

OnePlus 6 (8GB)

vanaf € 549,53

Score: 4.5

Alles over dit product

OnePlus 6 (6GB)

vanaf € 504,23

Score: 4.5

Alles over dit product

OnePlus 6 Review
Smartphones

21 mei 2018

OnePlus 6 Review

Blinkt uit in zijn eenvoud

269
'OnePlus stopt met verstrekken toestellen aan kernelontwikkelaars' Nieuws van 28 november 2018
OnePlus lost probleem met adaptieve helderheid bij OP6 op in volgende update Nieuws van 5 augustus 2018
OnePlus heeft miljoen OnePlus 6-smartphones geleverd Nieuws van 14 juni 2018
Gerucht: OnePlus' zusterbedrijf Oppo gaat smartphones uitbrengen in Nederland Nieuws van 14 juni 2018
Fout in bootloader OnePlus 6 maakt flashen custom roms mogelijk Nieuws van 10 juni 2018
OnePlus 6 is te ontgrendelen met foto van gezicht Nieuws van 29 mei 2018
Zusterbedrijf OnePlus zegt op 12 juni fullscreen-smartphone te presenteren Nieuws van 23 mei 2018
OnePlus lijkt af te stappen van Dash Charge-naam in Europa Nieuws van 21 mei 2018
Meer producten en artikelen
Netwerk en systeembeheer Smartphones Google OnePlus Android

Reacties (28)

-Moderatie-faq
28
26
15
1
0
0
Wijzig sortering
Silversatin
16 juni 2018 12:05
Dat is een grappige argument, er bestaan een tal van oplossingen 1 ervan en ook het vaaks gebruikte methode is bijvoorbeeld download mirrors te gebruiken. En zo zijn er nog veel oplossingen als "server load" de reden is.
ArtGod
@Silversatin16 juni 2018 12:29
Dan kunnen ze ook het certificate checken en dan is dat ook niet mogelijk.
arjan1995
@ArtGod16 juni 2018 13:00
Dat is toch al niet mogelijk omdat de download over HTTP (zonder S) gaat. Er is dus geen certificaat, maar enkel een Md5 checksum die wordt gecontroleerd.
GORby
@arjan199516 juni 2018 23:17
Als de image ondertekend is met een certificaat en dat certificaat wordt ook gecontroleerd, dan maakt het niet uit of het via HTTP of HTTPS binnen komt. Net zoals je in Windows 10 software (vooral drivers) hebt die ondertekend is met een certificaat dat de auteur aantoont...
De originele software moet dan enkel de public key hebben om te kunnen bevestigen dat de image ondertekend is met de private key van de maker.
demonic
@Silversatin16 juni 2018 16:28
Waar staat dat dit om 'server load' redenen is?

Iedere fabrikant doet het eerst in één of meerdere landen releasen en dan pas naar de rest.
Letterlijk iedere fabrikant, dit heeft niks te maken met server load, dit heeft te maken met risico's.

Stel er zit een fout in de update waardoor de telefoon's bricken, dan ipv heel de wereld het probleem op te zadelen zit er maar een handvol mensen met het probleem..
Silversatin
@demonic16 juni 2018 17:24
Ik geloof dat uw reply op de verkeerde persoon gericht is, uw reply is bedoeld voor Martinspire die aanhaalde over server load
Silversatin
16 juni 2018 11:54
Ik heb geen OnePlus maar ik ben wel blij dat mijn mede-tweakers de nodige beveiligings update te pakken krijgen.

Blijkbaar zowel met VPN als zonder VPN (zo te zien in de comments)
Alleen wat jammer dat zo'n dingen altijd "uitgerold" worden i.p.v de consument te laten kiezen wat ze binnen halen voor hun toestel, dan is er geen gedoe met het omzeilen van regio-locking (VPN nodig) enkel duidelijke communicatie welk versie hoort bij welk toestel. (en natuurlijk de nodige waarschuwing indien je toch iets kiest dat niet aangeraden is natuurlijk )

Maar goed dit is maar het perspectief van mezelf ik ben benieuwd of er nog mensen zijn met een mening daarover..

[Reactie gewijzigd door Silversatin op 16 juni 2018 11:55]

Martinspire
@Silversatin16 juni 2018 11:58
Als je alles voor iedereen meteen beschikbaar maakt krijg je een soort ddos aanval op de server. 1 miljoen toestellen is veel verkeer
Shanquish
@Silversatin16 juni 2018 12:05
Het is geen regio locking, het is een manier om vanuit de fabrikant het verkeer te reguleren.
zie het maar als dat je op een feestje bent met een lopend buffet, vaak wordt er dan per tafel aangegeven wanneer je je eten kan halen.
SmokingCrop
@Silversatin16 juni 2018 13:14
En dan is er iets verkeerd met de update en staat die slechte update al op honderdduizenden toestellen. RIP.

Nu kan je het ook eenvoudig installeren als je dat echt al wilt.

[Reactie gewijzigd door SmokingCrop op 16 juni 2018 13:15]

Kiswum
@Silversatin17 juni 2018 07:51
Hij is over-the-air aangeboden. Ik was niet verplicht om hem te installeren op het test toestel. Je kunt de update dus ook negeren als je hem niet zou willen en lekker aan de gang wil gaan met nieuwe rom's.

In de toekomst zal die update hier ook wel worden geplaatst zodat iedereen hem kan downloaden:

https://downloads.oneplus.com
R-utger
16 juni 2018 10:19
Ik heb de update klaar staan, is 64MB.
jeroentje710
@R-utger16 juni 2018 10:28
Hier het zelfde, via VPN inderdaad makkelijk binnen te krijgen.(Gebruik nu Turbo VPN)

[Reactie gewijzigd door jeroentje710 op 16 juni 2018 10:28]

Shanquish
@jeroentje71016 juni 2018 12:02
via de app oxygen updater is 't nog makkelijker om 'm binnen te hengelen.
meerdere wegen die naar Rome leiden :)
Ries1
@R-utger16 juni 2018 10:32
Ik heb 'm ook, zonder VPN. Bij mij is i allleen 224mb
jqv
@R-utger16 juni 2018 10:36
Ik niet. Maar heb dan ook geen 1+6.

De "ik heb hem" zou je moeten invullen dat hij in NL of België beschikbaar is...
R-utger
@jqv16 juni 2018 10:57
Toestel is NL
mingo
@R-utger16 juni 2018 10:38
Bij mij was ie 1,4GB maar dit is puur omdat mijn bl geunlocked is.
MRoubos
16 juni 2018 11:12
Heb hem ook binnen.

Staat nog niet op hun site bij downloads. 224Mb
Clowting
16 juni 2018 11:47
Toch netjes dat ze dit binnen een week oplossen en uitrollen. :)
palexander
16 juni 2018 12:58
224MB is volgens mij versie 5.1.6
5.1.7 is 64 MB en inmiddels gedownload zonder VPN
joost89
17 juni 2018 22:56
Heb hem al binnen.
westergas
@Dennahz16 juni 2018 14:12
Ik kan ook niet wennen aan de scanner. Hij is stukken sneller dan op mij Nexus 6P maar hij is gewoon te klein dus ik zit er steeds naast. De rand om de scanner had ook groter mogen zijn zodat het beter te vinden is.

Niet op te lossen met een software update dus ;)

Update is binnen btw, gewoon zonder VPN of andere poespas.

[Reactie gewijzigd door westergas op 16 juni 2018 14:13]

CaliberMonkey
@Dennahz16 juni 2018 12:55
Wat is je issue
gertvdijk
@CaliberMonkey16 juni 2018 18:41
Het "hij doet het niet" probleem of het "hij pakt hem niet" probleem, vermoed ik. :) :P

[Reactie gewijzigd door gertvdijk op 16 juni 2018 18:41]

CaliberMonkey
@gertvdijk17 juni 2018 02:54
Dan ligt dag toch echt aan zijn vingers:P

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee