Naar content
Trending apps
  • Ouderlijk toezicht voor Nintendo Switch

  • Inbox by Gmail

  • Maps: Navigatie en OV

  • WhatsApp Messenger

  • Messenger

Trending games
  • Super Mario Run

  • RollerCoaster Tycoon® Classic

  • Bully: Anniversary Edition

  • Paper Wings

  • Pokémon GO

Trending smartphones
  • Samsung Galaxy Note 9

  • Nokia 8 Sirocco

  • OnePlus 6

  • Xiaomi Mi A1

  • Samsung Galaxy S9+

Nieuwste tablets
  • Samsung Galaxy Tab S3 9.7

  • Asus Zenpad 3S 10

  • Sony Xperia Z4 Tablet

  • ASUS ZenPad S 8

  • ASUS ZenPad 8

Foei, OnePlus

OnePlus heeft groot beveiligingslek in update-systeem

· 13 mei 2017

Een onderzoeker heeft vier verschillende beveiligingslekken in het update-systeem van OnePlus ontdekt. Hiermee kan een oudere en onveilige versie van Android op afstand op je telefoon worden gezet. Deze problemen gelden voor alle OnePlus-smartphones met OxygenOS of HydrogenOS. OnePlus weet al sinds januari van de problemen, maar heeft nog geen actie ondernomen.

Updates over HTTP

In totaal zijn er vier lekken gevonden in het update-systeem van OnePlus. Deze hebben invloed op alle OnePlus-smartphones, dus de One, X, 2, 3 en 3T. Ook de software-versie van OxygenOS of HydrogenOS (de Chinese versie van OxygenOS) maakt niet uit. Het achterliggende probleem van al deze lekken is dat OnePlus een onversleutelde HTTP verbinding gebruikt om software-updates uit te voeren. Het versleutelde HTTPS, wat steeds meer wordt ingevoerd bij websites (waaronder Androidworld) wordt dus vreemd genoeg niet gebruikt. 

Dit opent de deur voor kwetsbaarheden. Zo kan er op afstand een oudere en kwetsbare Androidversie op je telefoon worden gezet via een man in the middle attack. Normaal gesproken wordt er gecheckt of je je Android-OS naar een oudere of gelijke versie terugzet, maar OnePlus doet dit niet. In bovenstaand filmpje kan zien hoe de Androidversie wordt gedowngraded. Als je secure start-up van je OnePlus 3 of 3T hebt aanstaan met encryptie (dit laatste staat standaard ingeschakeld) dan werkt de exploit niet op deze apparaten. 

OnePlus 3T secure boot

Het derde lek zorgt ervoor dat aanvallers elke versie van OxygenOS met elke versies van HydrogenOS kunnen vervangen, en vica versa. Beide OS'en hebben namelijk dezelfde verification keys. Het vierde en laatste lek is specifiek voor de OnePlus One en OnePlus X. De kwetsbaarheid is hetzelfde als de vorige, alleen kan de aanvaller een update voor de One op de OnePlus X proberen te installeren, en andersom. Dit kan zorgen voor een onbruikbare telefoon. 

[readmore articles="188248"]

De onderzoeker heeft in januari dit jaar de vier lekken ontdekt en gerapporteerd aan OnePlus. Normaal gesproken krijgt een bedrijf dan 90 dagen om de lekken te dichten. Dit is niet gebeurd. Daarom heeft de onderzoeker uit coulance op 9 april nog 14 dagen uitstel gegeven. Toen er nog niets was aangepast besloot hij de kwetsbaarheden openbaar te maken. 

De aanvaller moet op hetzelfde netwerk zitten als het slachtoffer. Daarom raadt de onderzoeker aan om publieke wifinetwerken te vermijden, totdat het probleem is opgelost. Hopelijk gaat OnePlus vaart zetten om dit probleem snel op te lossen, maar de lange reactietijd van het bedrijf tot nu toe belooft weinig goeds. 

Bron: thehackernews

De nieuwste artikelen over OnePlus 3T

OnePlus brengt nieuwe open bèta's uit voor OnePlus 3(T) en OnePlus 5(T)

Google Lens in Google Assistant beschikbaar voor meerdere OnePlus-toestellen

Opinie: na 1 jaar OnePlus 3T geen OnePlus meer voor mij

Bèta-update brengt Face Unlock voor OnePlus 3 en OnePlus 3T

Officieel: OnePlus 3 en 3T krijgen Face Unlock, zelfde als OnePlus 5T

Spelfouten, taalfouten of inhoudelijke fouten ontdekt? Stuur dan een mailtje naar de auteur van dit artikel!

Reacties (26)
Bezig met laden van reacties...