OnePlus-Smartphones: Sicherheitslücken erlauben Angriffe über OTA-Updates

Insgesamt vier Sicherheitslücken in den Betriebssystemen OxygenOS und HydrogenOS auf Smartphones von OnePlus ermöglichen es, über ein modifiziertes Over-the-Air-Update (OTA) eine ältere Betriebssystemversion zu installieren oder die beiden Systeme gegeneinander auszutauschen.

Details zu den Sicherheitslücken hat Roee Hay in seinem Blog Alephsecurity ausgeführt. Man habe die Lücke an OnePlus gemeldet und dem Hersteller 90 Tage Zeit gegeben, sie zu schließen. Auch einer zusätzlichen 14-tätigen Frist kam OnePlus allerdings nicht nach, sodass Hay die Details nun – ähnlich wie es auch Google handhabt – öffentlich macht. Die Lücke besteht in der aktuellen Version 4.1.3 sowie 3.0 und älter. Betroffen sind theoretisch alle OnePlus-Smartphones, etwa OnePlus 2 (Test) und das OnePlus 3T (Test).

Man-in-the-Middle-Angriff mit falschem Update

Möglich ist einerseits ein Man-in-the-Middle-Angriff (MitM), bei dem der Angreifer sich allerdings im gleichen WLAN aufhalten muss wie das Smartphone. Zusätzlich erfordert dies auch weitere Interaktion des Nutzers, was die Wahrscheinlichkeit eines Angriffs verringert. Die Lücke bleibt aber aktuell weiterhin bestehen. Der Angreifer in der Mitte schickt dem Smartphone eine Mitteilung über ein neues Update, woraufhin das Smartphone auf die dort hinterlegte URL zurückgreift und eine veraltete Version herunterlädt.

YouTube-Video

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden Datenschutzerklärung

Die Installation der älteren Software ist möglich, da die OnePlus-Geräte bei einem OTA-Update jegliche von OnePlus signierte Software akzeptieren, auch wenn diese älter ist als die auf dem Smartphone befindliche. Zudem sind alle von OnePlus verteilten Updates mit dem gleichen Schlüssel signiert. Im Umkehrschluss können durch das ältere Betriebssystem in der Zwischenzeit geschlossene Lücken wieder offen gelegt werden, um so etwa Schadcode auszuführen, das Smartphone unrechtmäßig zu rooten oder an Nutzerdaten zu gelangen. In einem Video demonstrieren Roee Hay und Sagi Kedmi den MitM-Angriff.

ROMs verschiedener Systeme und Geräte tauschen

Roy erklärt zudem, dass sich auf diese Weise auch die ROMs von OnePlus One und OnePlus X austauschen lassen, was zu Fehlern aufgrund von Inkompatibilität führen kann und das Smartphone so unbrauchbar wird. Auf diese Weise lässt sich auch das in westlichen Märkten eingesetzte OxygenOS gegen das in China angebotene HydrogenOS austauschen.

Verschlüsselung des OnePlus 3(T) gegen Sideloading

Eine weitere Möglichkeit besteht darin, dass Smartphone in den Recovery-Modus hochzufahren und dann per Sideloading das ältere Betriebssystem zu installieren. Hierfür muss der Angreifer allerdings physischen Zugriff auf das Smartphone haben. Zumindest beim OnePlus 3 und 3T ist dies auch dann nicht möglich, sofern das Smartphone per Full Disk Encryption verschlüsselt ist. Darüber hinaus vermerkt Roy, dass OnePlus seit mindestens einem Jahr die Aktualisierungen unverschlüsselt über HTTP verteilt, was potentielle Angriffsflächen vergrößert.

Auf GitHub gibt es ein Proof-of-Concept zu der Sicherheitslücke. OnePlus hat sich bisher nicht zu den Sicherheitslücken geäußert.