Atualização de smartphones da OnePlus introduz proteção antirrollback em nível de hardware

 (consumerrights.wiki)
1 pontos por GN⁺ 2026-01-26 | 1 comentários | Compartilhar no WhatsApp
  • O firmware ColorOS 16.0.3.501, distribuído em janeiro de 2026, passou a incluir um recurso de antirrollback baseado em hardware, bloqueando permanentemente a instalação de versões antigas ou o flash de ROMs customizadas
  • A atualização altera fisicamente o eFuse do processador Qualcomm, fazendo com que o aparelho entre em estado de falha total e irrecuperável (hard brick) ao tentar instalar uma versão anterior
  • Vários modelos, como OnePlus 13, 15 e a linha Ace 5, foram afetados, e pacotes de downgrade de alguns modelos antigos também foram removidos do site oficial
  • No fórum XDA, usuários de ROM customizada foram alertados a “evitar as atualizações OTA das versões .500, .501 e .503”, e os aparelhos já atualizados foram orientados a interromper a instalação de ROMs customizadas
  • OnePlus e OPPO não divulgaram posicionamento oficial, e no setor a medida é avaliada como uma limitação muito mais rígida que o Samsung Knox

Visão geral do caso

  • Em janeiro de 2026, o firmware ColorOS 16.0.3.501 distribuído pela OnePlus passou a incluir um recurso de antirrollback em nível de hardware
    • O recurso bloqueia permanentemente que o usuário instale firmware antigo ou ROM customizada
    • Ele altera o estado ao “queimar” o eFuse presente na área Qfprom (Programmable Read-Only Memory) do chipset Qualcomm
  • Depois que o fusível é alterado uma vez, não há recuperação por software, e é informado que a troca da placa-mãe é a única forma de recuperação
  • A OnePlus não divulgou nenhum comunicado oficial nem explicação sobre o mecanismo

Contexto

  • A OnePlus foi fundada em 2013 por Pete Lau e Carl Pei e, no início, ganhou popularidade na comunidade de modding com o OnePlus One, que vinha com uma ROM customizada baseada no CyanogenMod
  • Depois do fim do contrato com a Cyanogen, a empresa desenvolveu o OxygenOS (global) e o HydrogenOS (China)
  • Em 2021, ao integrar sua base de código ao ColorOS da OPPO, a empresa migrou para o atual sistema baseado em ColorOS

Linha do tempo

  • 18 de janeiro: após a atualização para o ColorOS 16.0.3.501, surgiram relatos de usuários que tentaram voltar para uma versão anterior e acabaram presos no modo EDL (9008), sem possibilidade de recuperação
  • 19 de janeiro: a usuária do fórum XDA AdaUnlocked publicou um tópico de alerta com evidências de dano ao fusível da CPU
    • Até serviços pagos de recuperação passaram a alertar: “não faça downgrade em aparelhos com Snapdragon 8 Elite”
    • Alguns usuários relataram casos em que foi necessária a troca da placa-mãe
  • Após 19 de janeiro: a OnePlus removeu links de firmware de downgrade do fórum oficial, incluindo também pacotes do OnePlus 12
  • 24 de janeiro: AdaUnlocked confirmou que “ROMs existentes foram reempacotadas com o mesmo número de versão, mas incluindo o gatilho do fusível”

Dispositivos afetados

  • OnePlus 12: ColorOS 16.0.3.500, 15.0.0.862
  • OnePlus 13 / 13T: ColorOS 16.0.3.501, 15.0.0.862
  • OnePlus 15: ColorOS 16.0.3.503
  • OnePlus Ace 5 / Ace 5 Pro: ColorOS 16.0.3.500, 15.0.0.862
  • Também entram na lista OPPO Find X7 Ultra, OPPO Pad 4 Pro e OnePlus Pad 2 Pro / Pad 3
  • Versões até a 16.0.2.402 não são afetadas, e a comunidade recomenda evitar OTAs das versões .500, .501 e .503
  • O Android Authority afirma que a linha OPPO Find X8 está em grupo de alto risco e menciona a possibilidade de atualização semelhante também para o OnePlus 11 e 12

Mecanismo técnico

  • O eFuse Qfprom é um fusível eletrônico programável apenas uma vez; quando seu estado muda de ‘0’ para ‘1’ por um pulso de tensão, não há como revertê-lo
  • Na inicialização, o Primary Boot Loader verifica o XBL (eXtensible Boot Loader) e, se a versão do firmware for inferior ao valor gravado no fusível, a inicialização é recusada
  • Quando o novo firmware inicia normalmente, fusíveis adicionais são queimados via Qualcomm TrustZone, registrando permanentemente o valor mínimo de versão
  • O modo EDL (USB 9008) não consegue contornar essa proteção
    • O programador Firehose exige assinatura do OEM e, se o fusível já tiver sido alterado, não funciona
  • Segundo a explicação no XDA, “queimar o fusível” não significa dano físico ou calor, mas sim uma comutação elétrica em portas lógicas que bloqueia completamente o caminho de execução do software anterior

Impacto sobre ROMs customizadas

  • O fórum XDA alertou que “a partir do ColorOS 16.0.3.501, instalar ROMs customizadas existentes causa hard brick imediato
  • A maioria das ROMs customizadas foi criada com base em firmwares anteriores à adoção da política de fusíveis, portanto não é compatível com o novo firmware
  • A desenvolvedora AdaUnlocked afirmou que trabalhos com ROMs customizadas, ports e GSI se tornam inúteis em aparelhos com o fusível aplicado
  • A comunidade recomenda não instalar ROM customizada em aparelhos atualizados e esperar até que desenvolvedores indiquem suporte com base no novo firmware

Resposta das empresas

  • Até 22 de janeiro de 2026, OnePlus e OPPO não haviam publicado comunicado oficial, resposta em fórum nem menção em redes sociais
  • A remoção dos pacotes de downgrade no fórum oficial em 19 de janeiro foi interpretada como uma medida deliberada

Comparação com outros fabricantes

  • O Samsung Knox também usa recursos de segurança baseados em eFuse, mas, ao instalar firmware não oficial, o efeito normalmente se limita à desativação do Samsung Pay e da Pasta Segura
  • O Android Authority destaca que a abordagem da OnePlus é muito mais agressiva e bloqueia a própria inicialização
  • O DroidWin apontou que “o flash via EDL é um recurso usado por apenas 1% a 2% dos usuários, e afetar a maioria deles para bloquear isso é algo irracional”

Leituras relacionadas

1 comentários

 
GN⁺ 2026-01-26
Comentários do Hacker News

  • Foi dito que, em uma situação de guerra, os países inimigos dos EUA seriam “libertados” dos dispositivos
    Foi mencionada a função Qfprom (One-Time Programmable Fuse) da Qualcomm, um fusível eletrônico que só pode ser usado uma vez e é utilizado para implementar anti-rollback
    Houve sarcasmo dizendo como foi “atencioso” criar esse tipo de recurso, e surgiu a opinião de que CPUs como as chinesas Loongson ou as russas Baikal são sancionadas porque são mais difíceis de desativar do que esses fusíveis programáticos

    • Esse mecanismo existe para impedir o downgrade do bootloader
      Em uma cadeia de computação confiável, uma vez que surge uma vulnerabilidade, ela fica comprometida para sempre, então isso seria um dispositivo para evitar esse problema
      Foi explicado que se trata de um conceito antigo, já presente na era do Motorola p2k há 25 anos, e que computação confiável em si não é algo maligno
    • Memória OTP é um componente central de praticamente todos os sistemas de segurança
      A chave única do dispositivo ou a raiz da cadeia de certificados é armazenada em hash nesse fusível, impedindo que um invasor instale firmware antigo para explorar vulnerabilidades
      Houve até a reação de que o surpreendente é que esse recurso não existisse até agora
    • eFuse é uma tecnologia usada há muito tempo na etapa de fabricação de MCUs e processadores
      Por exemplo, quando se usa o mesmo MCU em placas de entrada e saída de áudio, mas ele precisa operar de forma diferente conforme a configuração, o eFuse fixa essa configuração para impedir que o firmware ajuste GPIOs errados
    • Um método ainda mais simples seria esconder dentro da CPU um bloco lógico de kill switch que entra em ação ao detectar uma sequência específica de bits
    • Também houve a opinião de que o motivo de a China investir na arquitetura open source RISC-V parece ser justamente uma estratégia para evitar esse tipo de sanção ou dependência de tecnologias fechadas

  • Afirmou-se que esse caso vai além do simples direito ao reparo e envolve a própria questão da propriedade
    Dizem que isso mostra mais uma vez que o usuário não possui completamente o dispositivo quando atualizações remotas podem impor esse tipo de controle

    • Com carros acontece o mesmo, já que não é possível desligar o módulo de comunicação no teto
      O fabricante controla a ponto de mandar e-mail avisando a hora de trocar o óleo, então foi levantada a dúvida se realmente podemos dizer que “possuímos” um carro
    • Foi argumentado que o comprovante de compra é a prova da minha propriedade, e que esse tipo de desativação remota em massa viola o CFAA (Computer Fraud and Abuse Act) e, na prática, se aproxima de venda fraudulenta
      Se a diretoria sabia disso, poderia até haver violação do RICO
      Também houve uma reação cínica de que, mesmo ganhando um processo, no fim tudo acabaria em algo como “um cupom de US$ 10 de desconto no próximo celular da OnePlus”

  • Surgiu a pergunta sobre o que a OnePlus ganha fazendo isso
    Houve até suspeita de que, se falhas de atualização levarem a mais trocas de placa-mãe, isso poderia aumentar a receita
    Também se especulou que o antigo caso da linha verde talvez tenha sido um exemplo de fusível de hardware acionado de forma errada durante uma atualização de software

    • Havia um bug que permitia redefinir e reativar celulares roubados, então foi explicado que essa medida serviria para evitar ataques de downgrade
      Pode ser uma medida contra roubo ou para cumprir exigências de operadoras e do Google
    • Como uma vulnerabilidade no bootloader permitia inicializar um SO arbitrário com acesso físico, seria necessário bloquear downgrade com eFuse
      Isso não impediria o uso de custom ROMs em si, apenas de ROMs de versão anterior
      ROMs compiladas com base no novo firmware poderiam inicializar normalmente
      Portanto, quando os desenvolvedores de ROM derem suporte ao novo firmware, o uso de custom ROMs deve voltar a ser possível
    • Do ponto de vista da diretoria, não haveria interesse em dar ao usuário o controle do hardware
      Como vender hardware por si só não gera receita suficiente, a crítica é que o objetivo seria prender o usuário ao ecossistema do próprio SO e lucrar com coleta de dados
    • A Apple também adota uma política semelhante de não permitir downgrade após 7 dias
      A OnePlus apenas implementou isso via hardware, enquanto a Apple usa um sistema baseado em assinatura
      Defendeu-se que o usuário deveria ter o direito garantido de assinar e executar seu próprio SO
      Também foi mencionada uma reclamação sobre problemas de sincronização do Apple Watch no iOS 26

  • Esse tipo de anti-rollback baseado em eFuse já é um recurso comum em SoCs há 10 a 20 anos
    Quando um root exploit é descoberto, queimar o eFuse para impedir o retorno ao firmware vulnerável anterior é um procedimento padrão de segurança
    Foi explicado que o apelo de ROMs ou jailbreak é compreensível, mas isso depende de firmwares antigos e vulneráveis

    • No entanto, um usuário rebateu dizendo que “isso não é normal”
      Se o celular foi comprado por mim, eu deveria ter o direito de decidir qual software rodar
      Se uma atualização enviar meus dados para outro país, eu deveria ter a liberdade de voltar para a versão anterior
      Segundo ele, essa mudança impede essa liberdade e, se alguém tentar, o celular vira um tijolo

  • Segundo o OP, essa mudança não impede o desbloqueio do bootloader em si
    No entanto, ela quebra a compatibilidade com custom ROMs antigas, de modo que será preciso desenvolver ROMs compatíveis com o novo estado do eFuse

    • Em resposta, apareceu a pergunta: “então o que exatamente precisa ser feito para haver compatibilidade?”
      Houve curiosidade sobre o processo de criar uma ROM compatível com o estado do eFuse

  • Um usuário disse que viu ontem a notificação de atualização e desativou as atualizações automáticas
    Afirmou que não vai atualizar até entender melhor a situação

  • A mudança da OnePlus foi satirizada com a citação “ou você morre como herói, ou vive o bastante para se tornar o vilão”

    • Outro usuário acrescentou que “já dava para ver sinais disso desde o lançamento da linha Nord”

  • Foi dito que o Cyber Resilience Act (CRA) da UE vai exigir boot à prova de adulteração em todos os dispositivos a partir de 2027
    A preocupação é que isso reduza o espaço para FOSS e reparabilidade e traga o efeito colateral de que, se o fornecedor desaparecer, o hardware vira um tijolo

  • No passado, celulares Android sem marca com SoCs Mediatek vinham desbloqueados por padrão e quase nunca viravam tijolo, então a cultura de modding prosperava
    Lembrou-se que o eFuse já existia, mas o software não fazia uso dele

  • No processo de boot, o XBL (Extensible Boot Loader) lê a versão anti-rollback do fusível Qfprom e a compara com a versão dentro do firmware
    Quando o novo firmware inicializa com sucesso, o fusível é queimado via TrustZone para atualizar a versão mínima
    Se a custom ROM for baseada em firmware anterior, ela é bloqueada imediatamente

    • Como explicação técnica, foi dito que XBL e ABL (Secondary Bootloader) carregam informações de versão e rejeitam qualquer coisa abaixo do valor do eFuse
      O Android Verified Boot (AVB) compara o hash do kernel com a assinatura da partição vbmeta, e a Replay Protected Memory Block (RPMB) armazena a versão mínima para evitar rollback
      A partição super é um sistema de arquivos raiz somente leitura protegido por dm-verity
    • Outro usuário acrescentou que, para isso ser possível, a metadata assinada precisa incluir a versão
      Se o usuário puder assinar por conta própria ou desativar a verificação de assinatura, então, desde que a condição de versão seja atendida, seria possível inicializar o que quiser