OnePlus-Smartphone-Update führt Anti-Rollback-Funktion auf Hardware-Ebene ein

 (consumerrights.wiki)
1 Punkte von GN⁺ 2026-01-26 | 1 Kommentare | Auf WhatsApp teilen
  • Die im Januar 2026 verteilte ColorOS-16.0.3.501-Firmware enthält eine hardwarebasierte Anti-Rollback-Funktion, die die Installation älterer Versionen oder das Flashen von Custom-ROMs dauerhaft blockiert
  • Das Update verändert die elektronischen Sicherungen (eFuse) des Qualcomm-Prozessors physisch, sodass das Gerät beim Installationsversuch einer früheren Version vollständig funktionsunfähig wird (Hard-Brick)
  • Zahlreiche Modelle wie OnePlus 13, 15 und die Ace-5-Serie sind betroffen; auch Downgrade-Pakete für einige ältere Modelle wurden von der offiziellen Website entfernt
  • Im XDA-Forum wird Nutzern von Custom-ROMs geraten, „OTA-Updates auf die Versionen .500, .501 und .503 zu vermeiden“; bereits aktualisierte Geräte sollten keine Custom-ROMs mehr installieren
  • OnePlus und OPPO haben keine offizielle Stellungnahme abgegeben; in der Branche wird die Einschränkung als deutlich strenger als Samsung Knox bewertet

Überblick über den Vorfall

  • Im Januar 2026 wurde in der von OnePlus verteilten ColorOS-16.0.3.501-Firmware eine Anti-Rollback-Funktion auf Hardware-Ebene integriert
    • Diese Funktion blockiert dauerhaft, dass Nutzer ältere Firmware-Versionen oder Custom-ROMs installieren
    • Dazu wird die elektronische Sicherung (eFuse) im Qfprom-Bereich (Programmable Read-Only Memory) des Qualcomm-Chipsatzes „geblasen“ (blow) und ihr Zustand verändert
  • Ist die Sicherung einmal verändert, lässt sie sich nicht per Software wiederherstellen; der Austausch des Mainboards ist als einzige Wiederherstellungsmöglichkeit angegeben
  • OnePlus hat zu diesem Mechanismus keine offizielle Erklärung oder Stellungnahme veröffentlicht

Hintergrund

  • OnePlus wurde 2013 von Pete Lau und Carl Pei gegründet und gewann anfangs in der Modding-Community mit dem OnePlus One, das auf einer CyanogenMod-basierten Custom-ROM lief, an Beliebtheit
  • Nach dem Ende des Vertrags mit Cyanogen entwickelte das Unternehmen OxygenOS (global) und HydrogenOS (China)
  • 2021 wurde die Codebasis mit OPPOs ColorOS zusammengeführt, womit der Übergang zum heutigen ColorOS-basierten System erfolgte

Zeitleiste

  • 18. Januar: Nach dem Update auf ColorOS 16.0.3.501 werden Fälle gemeldet, in denen Nutzer beim Versuch, auf eine frühere Version zurückzugehen, im EDL-Modus (9008) landeten und das Gerät nicht mehr wiederhergestellt werden konnte
  • 19. Januar: Der XDA-Forennutzer AdaUnlocked veröffentlicht einen Warn-Thread mit Belegen für beschädigte CPU-Sicherungen
    • Auch kostenpflichtige Wiederherstellungsdienste warnen: „Bei Geräten mit Snapdragon 8 Elite kein Downgrade durchführen“
    • Einige Nutzer berichten, dass ein Austausch des Mainboards erforderlich war
  • Seit dem 19. Januar: OnePlus entfernt im offiziellen Forum Links zu Downgrade-Firmware, darunter auch Pakete für das OnePlus 12
  • 24. Januar: AdaUnlocked bestätigt, dass „bestehende ROMs mit derselben Versionsnummer neu verpackt wurden und den Fuse-Trigger enthalten“

Betroffene Geräte

  • OnePlus 12: ColorOS 16.0.3.500, 15.0.0.862
  • OnePlus 13 / 13T: ColorOS 16.0.3.501, 15.0.0.862
  • OnePlus 15: ColorOS 16.0.3.503
  • OnePlus Ace 5 / Ace 5 Pro: ColorOS 16.0.3.500, 15.0.0.862
  • OPPO Find X7 Ultra, OPPO Pad 4 Pro, OnePlus Pad 2 Pro / Pad 3 sind ebenfalls betroffen
  • Versionen bis einschließlich 16.0.2.402 sind nicht betroffen; die Community empfiehlt, OTA-Updates auf .500, .501 und .503 zu vermeiden
  • Android Authority nennt die OPPO-Find-X8-Serie als Hochrisikogruppe und erwähnt die Möglichkeit ähnlicher Updates für OnePlus 11 und 12

Technischer Mechanismus

  • Die Qfprom-eFuse ist eine elektronische Sicherung, die nur einmal programmiert werden kann; wird ihr Zustand per Spannungspuls von 0 auf 1 geändert, ist dies nicht rückgängig zu machen
  • Beim Booten prüft der Primary Boot Loader den XBL (eXtensible Boot Loader); liegt die Firmware-Version unter dem in der Sicherung gespeicherten Wert, wird der Start verweigert
  • Wenn die neue Firmware erfolgreich bootet, werden über Qualcomm TrustZone weitere Sicherungen geblasen, um den Mindestversionswert dauerhaft zu speichern
  • Der EDL-Modus (USB 9008) kann diesen Schutz nicht umgehen
    • Der Firehose-Programmer benötigt eine OEM-Signatur und funktioniert nicht mehr, wenn die Sicherung bereits verändert wurde
  • Laut der Erklärung auf XDA bedeutet „Fuse Blow“ keinen physischen Schaden oder Hitzeeinwirkung, sondern eine elektrische Umschaltung von Logikgattern, die den Ausführungspfad älterer Software vollständig blockiert

Auswirkungen auf Custom-ROMs

  • Das XDA-Forum warnt: „Ab ColorOS 16.0.3.501 verursachen bestehende Custom-ROM-Installationen sofort einen Hard-Brick
  • Die meisten Custom-ROMs basieren auf Firmware vor Einführung der Fuse-Richtlinie und sind daher nicht mit der neuen Firmware kompatibel
  • Der Entwickler AdaUnlocked erklärt, dass Arbeiten an Custom-ROMs, Ports und GSIs auf Geräten mit aktiver Fuse wirkungslos werden
  • Die Community empfiehlt, auf aktualisierten Geräten keine Custom-ROMs zu installieren und zu warten, bis Entwickler Unterstützung auf Basis der neuen Firmware ausdrücklich angeben

Reaktion der Unternehmen

  • Stand 22. Januar 2026 haben OnePlus und OPPO weder offizielle Stellungnahmen veröffentlicht noch in Foren oder sozialen Netzwerken darauf reagiert
  • Die Entfernung der Downgrade-Pakete aus dem offiziellen Forum am 19. Januar wird als bewusste Maßnahme interpretiert

Vergleich mit anderen Herstellern

  • Samsung Knox nutzt ebenfalls eFuse-basierte Sicherheitsfunktionen, beschränkt sich bei inoffizieller Firmware jedoch auf die Deaktivierung von Samsung Pay und Sicherer Ordner
  • Android Authority stellt fest, dass OnePlus’ Ansatz deutlich strenger ist und bereits den Bootvorgang selbst blockiert
  • DroidWin kritisiert: „EDL-Flashen wird nur von 1 bis 2 % aller Nutzer verwendet; dafür eine Maßnahme einzuführen, die die breite Masse beeinträchtigt, ist nicht sinnvoll“

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-26
Hacker-News-Kommentare

  • Es wurde angemerkt, dass sich Amerikas Feindstaaten im Kriegsfall von solchen Geräten befreien würden.
    Erwähnt wurde Qualcomms Qfprom (One-Time Programmable Fuse), eine nur einmal beschreibbare elektronische Sicherung, die zur Umsetzung von Anti-Rollback verwendet wird.
    Dazu gab es sarkastische Kommentare darüber, wie „vorausschauend“ es sei, so etwas gebaut zu haben, und die Meinung, dass chinesische oder russische CPUs wie Loongson oder Baikal auch deshalb sanktioniert werden, weil sie sich schwerer deaktivieren lassen als solche programmierbaren Sicherungen.

    • Solche Mechanismen existieren, um Bootloader-Downgrades zu verhindern.
      Wenn in einer vertrauenswürdigen Computing-Kette einmal eine Schwachstelle entsteht, ist sie dauerhaft kompromittiert; diese Mechanismen sollen genau das verhindern.
      Das sei schon zur Zeit von Motorola p2k vor 25 Jahren ein altes Konzept gewesen, und Trusted Computing an sich sei nicht böse.
    • OTP-Speicher ist ein zentraler Baustein fast aller Sicherheitssysteme.
      Gerätespezifische Schlüssel oder die Root einer Zertifikatskette werden in diese Sicherungen gehasht, damit Angreifer keine alte Firmware einspielen und Schwachstellen ausnutzen können.
      Manche reagierten eher überrascht, dass es so eine Funktion nicht schon längst gegeben habe.
    • eFuse ist eine Technik, die seit Langem in der Fertigung von MCUs und Prozessoren eingesetzt wird.
      Wenn zum Beispiel dieselbe MCU in Audio-I/O-Boards verwendet wird, aber je nach Konfiguration unterschiedlich arbeiten muss, kann man per eFuse Einstellungen festschreiben, damit die Firmware nicht versehentlich falsche GPIOs konfiguriert.
    • Als einfachere Methode wurde auch genannt, einen Kill-Switch-Logikblock im CPU-Inneren zu verstecken, der bei Erkennung einer bestimmten Bitfolge ausgelöst wird.
    • Dass China in die RISC-V-Open-Source-Architektur investiert, wurde ebenfalls als Strategie gesehen, um solche Sanktionen und die Abhängigkeit von geschlossener Technik zu vermeiden.

  • Es wurde argumentiert, dass es hier nicht nur um das Recht auf Reparatur, sondern um die Eigentumsfrage selbst gehe.
    Der Punkt sei, dass Nutzer durch Remote-Updates ihre Geräte nicht wirklich vollständig besitzen.

    • Bei Autos sei es ähnlich: Das Kommunikationsmodul im Dach lasse sich nicht abschalten.
      Wenn der Hersteller einem sogar per E-Mail mitteilt, wann ein Ölwechsel fällig ist, stelle sich die Frage, ob man ein Auto überhaupt noch wirklich „besitzt“.
    • Der Kaufbeleg sei der Nachweis des Eigentums, und eine solche massenhafte Fern-Deaktivierung verstoße gegen den CFAA (Computer Fraud and Abuse Act) und komme praktisch einem betrügerischen Verkauf gleich.
      Wenn das Management davon gewusst habe, könne es sogar ein Verstoß gegen RICO sein.
      Selbst wenn man vor Gericht gewinne, ende es am Ende wahrscheinlich nur mit einem „10-Dollar-Gutschein für das nächste OnePlus-Handy“, hieß es zynisch.

  • Es wurde gefragt, was OnePlus sich von so einer Maßnahme überhaupt verspricht.
    Es kam auch der Verdacht auf, ob sich damit vielleicht mehr Mainboard-Tausche nach fehlgeschlagenen Updates und damit mehr Umsatz erzielen lassen.
    Außerdem wurde spekuliert, der frühere Green-Line-Vorfall könne ein Fall gewesen sein, bei dem bei einem Software-Update eine Hardware-Sicherung falsch ausgelöst wurde.

    • Es habe einen Bug gegeben, durch den gestohlene Telefone nach einem Reset wieder aktiviert werden konnten; die jetzige Maßnahme diene daher zum Schutz vor Downgrade-Angriffen.
      Sie könne der Diebstahlsprävention oder der Einhaltung von Anforderungen durch Mobilfunkanbieter und Google dienen.
    • Eine Bootloader-Schwachstelle habe es ermöglicht, mit physischem Zugriff ein beliebiges OS zu booten; deshalb müsse man per eFuse Downgrades blockieren.
      Das verhindere nicht grundsätzlich die Nutzung von Custom-ROMs, sondern nur von ROMs auf Basis älterer Versionen.
      ROMs, die auf neuer Firmware basieren, könnten normal booten.
      Sobald ROM-Entwickler die neue Firmware unterstützen, sollte die Nutzung von Custom-ROMs also wieder möglich sein.
    • Aus Sicht des Managements wolle man den Nutzern keine Kontrolle über die Hardware geben.
      Mit dem bloßen Verkauf der Hardware lasse sich nicht genug verdienen; stattdessen wolle man Nutzer im eigenen OS-Ökosystem festhalten und Daten sammeln, um daraus Profit zu schlagen.
    • Apple verfahre ähnlich mit einer Richtlinie, nach der nach 7 Tagen kein Downgrade mehr möglich ist.
      OnePlus setze das per Hardware um, Apple über ein signaturbasiertes Verfahren.
      Nutzer sollten das Recht haben, ihr OS selbst zu signieren und auszuführen.
      In dem Zusammenhang wurde auch Frust über Synchronisationsprobleme mit der Apple Watch unter iOS 26 erwähnt.

  • Solches eFuse-basiertes Anti-Rollback ist in SoCs bereits seit 10 bis 20 Jahren ein gängiges Feature.
    Wenn ein Root-Exploit entdeckt wird, ist es Standardpraxis, die eFuse zu brennen, damit man nicht mehr auf die alte verwundbare Firmware zurückkehren kann.
    Der Reiz von ROMs oder Jailbreaks sei nachvollziehbar, aber letztlich beruhe das eben auf verwundbarer alter Firmware.

    • Ein Nutzer widersprach jedoch: „Das ist nicht normal.“
      Wenn es mein gekauftes Telefon ist, sollte ich entscheiden dürfen, welche Software darauf läuft.
      Wenn ein Update meine Daten in ein anderes Land sendet, sollte ich die Freiheit haben, zur alten Version zurückzugehen.
      Diese Änderung nehme einem genau diese Freiheit, und bei einem Versuch werde das Telefon zum Brick.

  • Laut OP verhindert diese Änderung nicht das Entsperren des Bootloaders an sich.
    Allerdings sind ältere Custom-ROMs damit nicht mehr kompatibel, sodass ROMs entwickelt werden müssen, die zum neuen eFuse-Status passen.

    • Daraufhin wurde gefragt: „Und wie genau macht man sie kompatibel?“
      Es bestand Interesse daran, wie der Prozess aussieht, ein ROM an den eFuse-Status anzupassen.

  • Ein Nutzer schrieb, er habe nach der Update-Benachrichtigung gestern die automatischen Updates deaktiviert.
    Er wolle erst einmal mehr über die Lage erfahren, bevor er aktualisiert.

  • Mit dem Zitat „Man stirbt als Held oder lebt lange genug, um zum Bösewicht zu werden“ wurde der Wandel von OnePlus verspottet.

    • Ein anderer Nutzer ergänzte, die Anzeichen seien „schon mit der Einführung der Nord-Reihe da gewesen“.

  • Der Cyber Resilience Act (CRA) der EU werde ab 2027 bei allen Geräten manipulationssicheres Booten vorschreiben.
    Dadurch könnten FOSS und Reparierbarkeit leiden, und wenn der Hersteller verschwindet, wird die Hardware zum Brick, lautete die Sorge.

  • Früher seien No-Name-Android-Handys mit Mediatek-SoCs standardmäßig entsperrt gewesen und fast nie gebrickt, wodurch eine lebendige Modding-Kultur entstanden sei.
    eFuses habe es zwar gegeben, aber die Software habe sie nicht genutzt, erinnerte sich ein Nutzer.

  • Beim Bootvorgang liest XBL (Extensible Boot Loader) die Anti-Rollback-Version aus den Qfprom-Sicherungen und vergleicht sie mit der Versionsnummer in der Firmware.
    Wenn neue Firmware erfolgreich bootet, wird über TrustZone die Sicherung gebrannt und damit die Mindestversion aktualisiert.
    Wenn ein Custom-ROM auf älterer Firmware basiert, wird es sofort blockiert.

    • Als technische Ergänzung wurde erklärt, dass XBL und ABL (Secondary Bootloader) Versionsinformationen enthalten und alles abgelehnt wird, was niedriger ist als der eFuse-Wert.
      Android Verified Boot (AVB) vergleicht den Kernel-Hash mit der Signatur in der vbmeta-Partition, und in Replay Protected Memory Block (RPMB) wird eine Mindestversion gespeichert, um Rollbacks zu verhindern.
      Die super-Partition ist ein schreibgeschütztes Root-Dateisystem und wird durch dm-verity geschützt.
    • Ein weiterer Nutzer ergänzte, dass dafür die signierten Metadaten eine Versionsnummer enthalten müssen.
      Wenn Nutzer selbst signieren oder die Signaturprüfung deaktivieren können, müsste man bei passender Versionsbedingung grundsätzlich jeden gewünschten Boot ausführen können.