OnePlus: Haarsträubende Behandlung einer schweren Sicherheitslücke

[farrol]

Ich habe Bedenken, weil ich dem Ersteller der App zusätzlich zu OnePlus trauen muss. Wer ist das, welchen Background hat er?

Wenn die App Open Source wäre, hätte ich keine Bedenken.

Ich würde ja auch gerne die Firmware direkt von OnePlus runterladen, aber durch etwas googeln habe ich da keine Seite von OnePlus gefunden.

Kennt jemand eine Webseite von OnePlus, von wo man die Firmware runterladen kann?

 

[daywalker1911]

@farrol du vertraust doch auch allen anderen die auf deinem Gerät installiert sind oder nicht? Also man kann Probleme machen die es nicht gibt..die App gibt es seit Jahren..und nix negatives zu finden.

Aber sei es drum..hier ein Link von XDA..dort kannst dir laden.

[20250929][ROM][OTA] Repo of ColorOS / OxygenOS Builds

 

[marcodj]

Aber sei es drum..hier ein Link von XDA

Du hast vollkommen Recht. Selbst in dem Link von XDA könnte man jetzt auch sagen das es nicht vertrauenswürdig ist

 

[daywalker1911]

@marcodj ja genau..irre. Naja er hat jetzt ne andere Möglichkeit ohne diesen ominösen Oxygen Updater.

 

[swa00]

@farrol

Wenn die App Open Source wäre, hätte ich keine Bedenken.

Das wäre ein Trugschluss, denn du weist nicht, was für das Binary verwendet wurde.

 

[farrol]

Die anderen Apps speichern aber keinen Firmware Update auf meinem Gerät.

Woher weiß ich, dass die Firmware von OnePlus stammt und nicht modifiziert ist?

Danke für die XDA Links, auch das sind aber keine offizielle OnePlus Server, oder?

https://gauss-opexcostmanual-eu.all...24/09/19/10299e1eec7b4c4ca6147f413b9599b7.zip

Beiträge automatisch zusammengeführt: Gestern um 12:18

Das wäre ein Trugschluss, denn du weist nicht, was für das Binary verwendet wurde.

Dann würde ich natürlich die App selber bauen, ich bin Android Entwickler.

 

[swa00]

ich bin Android Entwickler.

Prima, was hindert dich also an der eigenen Umsetzung ? - Dir selbst vertraust ja hoffentlich

Ich persönlich hätte dann nicht über 30 Stunden hier rumdiskurtiert, sondern schon längst ein Paket zusammengestellt ..... - Fertig , Käse gegessen

 

[farrol]

Ich persönlich hätte dann nicht über 30 Stunden hier rumdiskurtiert, sondern schon längst ein Paket zusammengestellt

Dafür benötigst du die Sourcen von OnePlus und sehr viel Einarbeitungszeit.

Liebe Leute, ich weiß die meisten hier sind OnePlus Fans und sehen das Thema Sicherheit nicht so super kritisch.

Ist ja okay, Sicherheit ist immer ein Kompromiss, den muss jeder für sich selbst abwägen.

Meine Erwartung an einen Smartphone Hersteller ist nun mal, dass Updates schnell und ohne Umwege vom Hersteller selbst bereit gestellt werden.

Und dass auch offen mit schweren Sicherheitslücken umgegangen wird.

Beides erfüllt OnePlus in meinen Augen zur Zeit nicht.

Ich hoffe aber auf Besserung, und werde mein OnePlus 12 noch nicht entsorgen

Wenn ich heute aber ein neues Smartphone kaufen müsste, wäre es wohl eher ein Pixel.

Aber das ist meine Privatmeinung, und mir ist klar, das viele in diesem Forum das anders sehen, und da habe ich auch kein Problem mit.

Damit ist das Thema OxygenUpdater für mich beendet, ich werde in diesem Thread erst wieder schreiben, wenn es Neuigkeiten zur SMS Sicherheitslücke gibt.

Ansonsten wünsche ich allen eine schöne Woche

 

[marcodj]

Wenn die App Open Source wäre, hätte ich keine Bedenken.

Ist sie doch

GitHub - oxygen-updater/oxygen-updater: Oxygen Updater is a third-party app for OnePlus devices that allows you to install official OTA (over-the-air) updates ASAP. Ensure your device is up-to-date — it's quick, easy, and free!

Oxygen Updater

 

[Cheep-Cheep]

@farrol es gibt einige Hersteller, die Updates in Wellen ausrollen, um einen globalen GAU zu vermeiden. OnePlus gehört dazu. Durch die genannte Third Party App hast du immerhin den Vorteil, direkt auf Updates zugreifen zu können.

Ich kann deinen Wunsch zwar sehr nachvollziehen, dennoch bietet der Rollout in Wellen gewisse Sicherheiten und damit auch Vorteile.

 

[farrol]

Ist sie doch

Cool danke, dann kann ich sie auch benutzen!

Beiträge automatisch zusammengeführt: Gestern um 13:43

es gibt einige Hersteller, die Updates in Wellen ausrollen, um einen globalen GAU zu vermeiden. OnePlus gehört dazu

Klar und das ist ja auch sehr vernünftig.

Aber ich würde mir doch wünschen, dass ich im Oktober schon mindestens den August Update bekomme, und nicht den vom Juni

 

[MMI]

Entgegen dem neuen Trend bei AH, immer und überall über Cams von XYZ zu diskutieren, hab ich ein paar Beiträge gelöscht und bitte wieder beim Thema des Threads zu bleiben. Danke!

 

[laazaruslong]

@farrol hast du bitte mal ein Anwendungsszenario für diese schwere Sicherheitslücke?
Was kann passieren wenn eine App die SMS von Omma oder MS ausliest?
Mir fällt da jetzt nicht ein was da schief laufen könnte?

 

[KnudBoerge]

Was kann passieren wenn eine App die SMS von Omma oder MS ausliest

Es gibt immer noch Diensteanbieter die 2FA über SMS verwenden. Klingt dir zu konstruiert?

Ich würde auch nicht wollen, dass die SMS meiner Omma mitgelesen wird. Ist meine Privatsphäre.

 

[laazaruslong]

Mit MS meinte ich ja die Anmeldeverifizierungs-SMS von Microsoft.
Aber welche unglaubliche Gefahr ergibt sich daraus die hier suggeriert wird?
Allein im Eingangspost wird 5 mal von "schwerer Sicherheitslücke" geschrieben.

Was kann im schlimmsten anzunehmenden Fall passieren?

Damit ich das verstehen kann?

 

[farrol]

Weil SMS von vielen Anbietern immer noch als 2FA eingesetzt werden, oder als Fallback, wenn andere 2FA nicht funktioniert.

In vielen Ländern werden über SMS auch noch 2FA Codes für das Banking verwendet.

Ich finde durchaus, das ist eine schwerwiegende Sicherheitslücke, so wurde sie ja auch im verlinkten Artikel beschrieben:

OxygenOS 12+ devices affected by major SMS vulnerability

Ich selbst bekomme eigentlich gar keine privaten SMS mehr, die meisten haben mit 2FA zu tun oder sind z.B. Warnungen meiner Bank, wenn ich Geld ins Ausland versende.

 

[KnudBoerge]

Aber welche unglaubliche Gefahr ergibt sich daraus die hier suggeriert wird?
Allein im Eingangspost wird 5 mal von "schwerer Sicherheitslücke" geschrieben.

Die beschriebene Sicherheitslücke wurde vom National Information Technology Laboratory mit dem Schweregrad Hoch klassifiziert in die National Vulnerability Database eingetragen. Das ist eine international anerkannte Klassifizierung im Common Vulnerability Scoring System.

Das "schwer" hat sich damit weder der Artikelschreiber, noch der Threadstarter hier ausgedacht. Oder entspricht bei dir der Schweregrad hoch nur einer leichten Sicherheitsbedrohung? Zum Glück setzt du keine international anerkannten Industriestandards.

 

[laazaruslong]

Warum so vorwurfsvoll?
Nun benenne er doch bitte ein Szenario das mit dieser Sicherheitslücke zu ernsthaften Problemen führt?

Ich wünschte mir nur ein Beispiel, keine Belehrung. Ich habe den oben beschriebenen link schon gelesen.

Dir zuliebe, ja ich habe verstanden das es sich um ein ernstzunehmendes Sicherheitsproblem handelt.

 

[farrol]

Hier ein Beispiel:

Ich arbeite als Software Entwickler und mit meinem Microsoft Account habe ich Zugang auf einen Produktionsserver.

Der Account ist mit 2FA abgesichert, Fallback ist SMS.

Wenn ein Hacker Zugriff auf die Kundendatenbank erhält, könnte er die Daten löschen oder sonstwie kriminell einsetzen.

Der Schaden kann da leicht in die Millionen gehen.

Das finde ich ist durchaus ein hoher Schaden.

Wenn du natürlich nur mit deiner Oma SMS und Emails austauscht, brauchst du dir keine Sorgen zu machen.

 

[farrol]

Mal eine gute Nachricht: OnePlus hat einen schnellen Fix versprochen:

https://www.pcmag.com/news/oneplus-to-address-this-software-flaw-after-initial-silence

“We acknowledge the recent disclosure of CVE-2025-10184 and have implemented a fix. This will be rolled out globally via software update starting from mid-October"