Pembaruan smartphone OnePlus memperkenalkan fitur anti-rollback tingkat perangkat keras

 (consumerrights.wiki)
1 poin oleh GN⁺ 2026-01-26 | 1 komentar | Bagikan ke WhatsApp
  • Firmware ColorOS 16.0.3.501 yang dirilis pada Januari 2026 menyertakan fitur anti-rollback berbasis perangkat keras, yang secara permanen memblokir pemasangan versi lama atau flashing custom ROM
  • Pembaruan ini secara fisik mengubah eFuse pada prosesor Qualcomm, sehingga jika mencoba memasang versi sebelumnya perangkat dapat berubah menjadi tidak dapat digunakan sama sekali (hard brick)
  • Banyak model terdampak, termasuk OnePlus 13, 15, seri Ace 5, dan paket downgrade untuk beberapa model lama juga telah dihapus dari situs resmi
  • Di forum XDA, pengguna custom ROM diperingatkan untuk “menghindari pembaruan OTA versi .500, .501, .503”, dan perangkat yang sudah terlanjur diperbarui disarankan menghentikan pemasangan custom ROM
  • OnePlus dan OPPO belum mengeluarkan pernyataan resmi, dan di industri langkah ini dinilai jauh lebih ketat daripada Samsung Knox

Ringkasan kejadian

  • Pada Januari 2026, firmware ColorOS 16.0.3.501 yang didistribusikan OnePlus menyertakan fitur anti-rollback tingkat perangkat keras
    • Fitur ini secara permanen mencegah pengguna memasang firmware versi lama atau custom ROM
    • Mekanisme ini mengubah status dengan me-blow eFuse pada area Qfprom (Programmable Read-Only Memory) di dalam chipset Qualcomm
  • Setelah fuse berubah sekali, kondisinya tidak bisa dipulihkan lewat perangkat lunak, dan disebutkan bahwa penggantian motherboard adalah satu-satunya cara pemulihan
  • OnePlus belum merilis pernyataan resmi maupun penjelasan terkait mekanisme ini

Latar belakang

  • OnePlus didirikan pada 2013 oleh Pete Lau dan Carl Pei, dan pada awalnya populer di komunitas modding melalui OnePlus One yang menggunakan custom ROM berbasis CyanogenMod
  • Setelah kontraknya dengan Cyanogen berakhir, perusahaan mengembangkan OxygenOS (global) dan HydrogenOS (Tiongkok)
  • Pada 2021, setelah mengintegrasikan basis kode dengan ColorOS milik OPPO, sistemnya beralih ke basis ColorOS seperti sekarang

Linimasa

  • 18 Januari: Setelah pembaruan ColorOS 16.0.3.501, dilaporkan ada pengguna yang mencoba kembali ke versi lama namun masuk ke mode EDL (9008) dan tidak bisa dipulihkan
  • 19 Januari: Pengguna forum XDA AdaUnlocked memposting thread peringatan disertai bukti kerusakan fuse CPU
    • Layanan pemulihan berbayar juga memperingatkan, “perangkat Snapdragon 8 Elite dilarang downgrade”
    • Sebagian pengguna melaporkan kasus yang memerlukan penggantian motherboard
  • Setelah 19 Januari: OnePlus menghapus tautan firmware downgrade dari forum resminya, termasuk paket untuk OnePlus 12
  • 24 Januari: AdaUnlocked mengonfirmasi bahwa “ROM yang sudah ada dikemas ulang dengan nomor versi yang sama namun menyertakan pemicu fuse”

Perangkat yang terdampak

  • OnePlus 12: ColorOS 16.0.3.500, 15.0.0.862
  • OnePlus 13 / 13T: ColorOS 16.0.3.501, 15.0.0.862
  • OnePlus 15: ColorOS 16.0.3.503
  • OnePlus Ace 5 / Ace 5 Pro: ColorOS 16.0.3.500, 15.0.0.862
  • Termasuk juga OPPO Find X7 Ultra, OPPO Pad 4 Pro, OnePlus Pad 2 Pro / Pad 3
  • Versi 16.0.2.402 ke bawah tidak terdampak, dan komunitas menyarankan untuk menghindari OTA versi .500, .501, .503
  • Android Authority menyebut seri OPPO Find X8 sebagai kelompok berisiko tinggi, dan menyebut OnePlus 11·12 juga berpotensi menerima pembaruan serupa

Mekanisme teknis

  • Qfprom eFuse adalah fuse elektronik yang hanya dapat diprogram satu kali; ketika statusnya berubah dari ‘0’ ke ‘1’ melalui pulsa tegangan, perubahan itu tidak bisa dibalikkan
  • Saat boot, Primary Boot Loader memverifikasi XBL (eXtensible Boot Loader), dan jika versi firmware lebih rendah daripada nilai fuse, proses boot akan ditolak
  • Setelah firmware baru berhasil boot normal, fuse tambahan di-blow melalui Qualcomm TrustZone untuk merekam nilai versi minimum secara permanen
  • Mode EDL (USB 9008) tidak dapat melewati perlindungan ini
    • Firehose programmer memerlukan tanda tangan OEM, dan jika fuse sudah berubah, metode ini tidak akan berfungsi
  • Menurut penjelasan XDA, “fuse blow” bukanlah kerusakan fisik atau panas, melainkan peralihan elektrik pada gerbang logika yang sepenuhnya memblokir jalur eksekusi perangkat lunak lama

Dampak pada custom ROM

  • Forum XDA memperingatkan bahwa “pada versi setelah ColorOS 16.0.3.501, memasang custom ROM yang ada saat ini akan langsung menyebabkan hard brick
  • Sebagian besar custom ROM dibuat berdasarkan firmware sebelum kebijakan fuse ini diterapkan, sehingga tidak kompatibel dengan firmware baru
  • Pengembang AdaUnlocked menyebut pengerjaan custom ROM, port, dan GSI menjadi tidak berguna pada perangkat yang sudah menerapkan fuse
  • Komunitas merekomendasikan jangan memasang custom ROM pada perangkat yang sudah diperbarui, dan menunggu sampai pengembang secara eksplisit menyatakan dukungan berbasis firmware baru

Respons perusahaan

  • Per 22 Januari 2026, OnePlus dan OPPO belum memberikan pernyataan resmi, jawaban forum, maupun penyebutan di SNS
  • Penghapusan paket downgrade di forum resmi pada 19 Januari ditafsirkan sebagai langkah yang disengaja

Perbandingan dengan produsen lain

  • Samsung Knox juga menggunakan fitur keamanan berbasis eFuse, tetapi pada pemasangan firmware tidak resmi dampaknya umumnya sebatas menonaktifkan Samsung Pay dan Secure Folder
  • Android Authority menyatakan pendekatan OnePlus jauh lebih kuat karena memblokir proses boot itu sendiri
  • DroidWin menyoroti bahwa “flashing EDL hanya digunakan 1–2% dari seluruh pengguna, sehingga memblokirnya dengan cara yang berdampak pada banyak pengguna adalah tindakan yang tidak rasional”

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-26
Komentar Hacker News

  • Muncul komentar bahwa dalam situasi perang, negara-negara musuh Amerika akan bisa membebaskan diri dari perangkat semacam ini
    Fitur Qfprom (One-Time Programmable Fuse) dari Qualcomm disebutkan, yaitu fuse elektronik yang hanya bisa diprogram sekali dan digunakan untuk menerapkan anti-rollback
    Ada sindiran bahwa membuat fitur seperti ini memang sangat ‘penuh pertimbangan’, dan karena itu ada pendapat bahwa alasan CPU seperti Loongson dari Tiongkok atau Baikal dari Rusia terkena sanksi adalah karena lebih sulit dinonaktifkan dibanding fuse yang dapat diprogram semacam ini

    • Mekanisme seperti ini ada untuk mencegah downgrade bootloader
      Dalam rantai komputasi tepercaya, sekali muncul kerentanan maka kepercayaannya bisa rusak selamanya, sehingga ini dijelaskan sebagai perangkat untuk mencegah hal tersebut
      Ini juga disebut sebagai konsep lama yang sudah ada sejak era Motorola p2k 25 tahun lalu, dan bahwa komputasi tepercaya itu sendiri bukanlah sesuatu yang jahat
    • Memori OTP adalah komponen inti di hampir semua sistem keamanan
      Kunci unik perangkat atau root dari rantai sertifikat di-hash ke fuse ini, sehingga penyerang tidak bisa memasang firmware lama untuk mengeksploitasi kerentanan
      Bahkan ada tanggapan bahwa justru mengejutkan fitur seperti ini belum ada sampai sekarang
    • eFuse adalah teknologi yang sudah lama digunakan pada tahap manufaktur MCU maupun prosesor
      Misalnya, ketika menggunakan MCU yang sama untuk perangkat seperti board input/output audio tetapi harus berperilaku berbeda tergantung konfigurasi, pengaturan dapat dikunci dengan eFuse agar firmware tidak salah mengatur GPIO
    • Cara yang lebih sederhana adalah menyembunyikan blok logika kill switch di dalam CPU agar aktif saat mendeteksi urutan bit tertentu
    • Ada juga pendapat bahwa alasan Tiongkok berinvestasi pada arsitektur open source RISC-V tampaknya merupakan strategi untuk menghindari sanksi seperti ini dan ketergantungan pada teknologi tertutup

  • Ada yang berpendapat bahwa isu ini bukan sekadar soal hak untuk memperbaiki, melainkan soal hak kepemilikan itu sendiri
    Ini disebut kembali menunjukkan bahwa lewat pembaruan jarak jauh, pengguna tidak benar-benar memiliki perangkatnya sepenuhnya

    • Mobil juga disebut sama saja, karena modul komunikasi di atap tidak bisa dimatikan
      Produsen bahkan bisa mengendalikan sampai mengirim email soal jadwal ganti oli, sehingga muncul pertanyaan apakah kita benar-benar ‘memiliki’ mobil itu
    • Kwitansi pembelian adalah bukti kepemilikan saya, tetapi penonaktifan jarak jauh berskala besar seperti ini disebut melanggar CFAA (Computer Fraud and Abuse Act), dan secara praktis nyaris seperti penjualan yang menipu
      Jika eksekutif mengetahui hal ini, bisa jadi juga melanggar RICO
      Bahkan kalau pun menang gugatan, reaksinya sinis: paling-paling hasil akhirnya hanya “kupon diskon 10 dolar untuk ponsel OnePlus berikutnya”

  • Muncul pertanyaan tentang apa keuntungan yang didapat OnePlus dari melakukan ini
    Bahkan ada kecurigaan bahwa kalau kegagalan update membuat penggantian motherboard meningkat, mungkin ada struktur keuntungan di sana
    Lalu ada spekulasi bahwa insiden green line dulu mungkin juga merupakan kasus fuse perangkat keras yang salah bekerja saat pembaruan perangkat lunak

    • Ada bug yang memungkinkan ponsel curian di-reset lalu diaktifkan kembali, dan dijelaskan bahwa langkah kali ini dimaksudkan untuk mencegah serangan downgrade
      Ini bisa jadi langkah untuk pencegahan pencurian atau untuk memenuhi persyaratan operator maupun Google
    • Karena kerentanan bootloader memungkinkan boot OS sembarang melalui akses fisik, eFuse perlu digunakan untuk memblokir downgrade
      Ini bukan berarti melarang penggunaan custom ROM itu sendiri, melainkan hanya memblokir ROM versi lama
      ROM yang dibangun di atas firmware baru disebut masih bisa boot secara normal
      Jadi jika pengembang ROM mendukung firmware baru, penggunaan custom ROM akan bisa kembali dilakukan
    • Dari sudut pandang manajemen, mereka tidak ingin kendali perangkat keras diberikan kepada pengguna
      Menjual perangkat keras saja tidak cukup menguntungkan, sehingga muncul kritik bahwa mereka ingin mengunci pengguna ke ekosistem OS mereka dan mengambil keuntungan lewat pengumpulan data
    • Apple juga disebut memiliki kebijakan serupa berupa tidak bisa downgrade setelah 7 hari
      OnePlus hanya menerapkannya lewat mekanisme perangkat keras, sedangkan Apple lewat sistem berbasis tanda tangan
      Ada pendapat bahwa pengguna harus dijamin haknya untuk menandatangani dan menjalankan OS sendiri
      Keluhan soal masalah sinkronisasi Apple Watch di iOS 26 juga ikut disebut

  • Anti-rollback berbasis eFuse seperti ini disebut sudah menjadi fitur umum pada SoC sejak 10–20 tahun lalu
    Jika root exploit ditemukan, membakar eFuse agar tidak bisa kembali ke firmware lama yang rentan dianggap sebagai prosedur keamanan standar
    Disebutkan bahwa daya tarik ROM atau jailbreak memang bisa dipahami, tetapi itu adalah tindakan yang bergantung pada firmware lama yang rentan

    • Namun ada pengguna yang membantah dengan mengatakan, “itu tidak normal”
      Jika itu ponsel yang saya beli, maka saya harus punya hak untuk menentukan perangkat lunak apa yang dijalankan
      Jika pembaruan mengirim data saya ke negara lain, saya harus bebas kembali ke versi sebelumnya
      Perubahan kali ini disebut menghalangi kebebasan itu, dan jika dicoba ponselnya akan menjadi brick

  • Menurut OP, perubahan kali ini tidak memblokir unlock bootloader itu sendiri
    Hanya saja, perangkat ini tidak lagi kompatibel dengan custom ROM lama, sehingga ROM harus dikembangkan agar sesuai dengan status eFuse yang baru

    • Sebagai tanggapan, muncul pertanyaan, “jadi secara spesifik apa yang harus dilakukan agar kompatibel?”
      Ada yang ingin tahu proses pembuatan ROM yang cocok dengan status eFuse tersebut

  • Seorang pengguna mengatakan bahwa setelah melihat notifikasi update kemarin, ia langsung mematikan pembaruan otomatis
    Ia mengatakan tidak akan melakukan update sampai situasinya dipahami lebih jelas

  • Perubahan OnePlus disindir dengan kutipan, “mati sebagai pahlawan, atau hidup cukup lama hingga menjadi penjahat”

    • Pengguna lain menambahkan bahwa “sejak lini Nord dirilis, tanda-tandanya sebenarnya sudah terlihat”

  • Ada kekhawatiran bahwa Cyber Resilience Act (CRA) Uni Eropa akan mewajibkan secure boot yang tidak bisa diutak-atik pada semua perangkat mulai 2027
    Akibatnya, FOSS maupun kemungkinan perbaikan bisa berkurang, dan ada efek samping bahwa jika vendor menghilang maka perangkat keras bisa menjadi brick

  • Dulu, ponsel Android tanpa merek berbasis Mediatek SoC disebut dalam keadaan unlock secara default dan hampir tidak pernah benar-benar brick, sehingga budaya modding berkembang pesat
    eFuse memang ada, tetapi perangkat lunaknya saat itu tidak menggunakannya, demikian kenang salah satu komentar

  • Dalam proses boot, XBL (Extensible Boot Loader) membaca versi anti-rollback dari fuse Qfprom lalu membandingkannya dengan versi di firmware
    Jika firmware baru berhasil boot, fuse dibakar melalui TrustZone untuk memperbarui versi minimum
    Jika custom ROM berbasis firmware lama, maka langsung akan diblokir

    • Sebagai penjelasan teknis lebih lanjut, XBL dan ABL (Secondary Bootloader) menyimpan informasi versi, dan jika nilainya lebih rendah dari eFuse maka akan ditolak
      Android Verified Boot (AVB) membandingkan hash kernel dengan tanda tangan pada partisi vbmeta, sementara Replay Protected Memory Block (RPMB) menyimpan versi minimum untuk mencegah rollback
      Partisi super adalah sistem file root hanya-baca yang dilindungi oleh dm-verity
    • Pengguna lain menambahkan bahwa “agar ini bisa terjadi, metadata yang ditandatangani harus memuat versi”
      Jika pengguna bisa menandatangani sendiri atau mematikan verifikasi tanda tangan, maka selama syarat versinya terpenuhi, boot apa pun yang diinginkan semestinya bisa dijalankan