Bản cập nhật smartphone OnePlus bổ sung tính năng chống hạ cấp ở cấp độ phần cứng

 (consumerrights.wiki)
1 điểm bởi GN⁺ 2026-01-26 | 1 bình luận | Chia sẻ qua WhatsApp
  • Bản firmware ColorOS 16.0.3.501 được phát hành vào tháng 1/2026 có tích hợp tính năng chống hạ cấp (anti-rollback) dựa trên phần cứng, chặn vĩnh viễn việc cài bản cũ hoặc flash custom ROM
  • Bản cập nhật này thay đổi vật lý cầu chì điện tử eFuse của bộ xử lý Qualcomm, khiến thiết bị chuyển sang trạng thái hard brick hoàn toàn không thể hoạt động nếu cài phiên bản cũ hơn
  • Nhiều mẫu như OnePlus 13, 15, dòng Ace 5 bị ảnh hưởng, và gói hạ cấp cho một số mẫu đời cũ cũng đã bị gỡ khỏi trang chính thức
  • Trên diễn đàn XDA, người dùng custom ROM được cảnh báo “hãy tránh các bản cập nhật OTA .500, .501, .503”, đồng thời khuyến nghị các thiết bị đã cập nhật không nên tiếp tục cài custom ROM
  • OnePlus và OPPO chưa đưa ra lập trường chính thức, và trong ngành, đây được đánh giá là biện pháp hạn chế mạnh hơn rất nhiều so với Samsung Knox

Tổng quan sự việc

  • Vào tháng 1/2026, firmware ColorOS 16.0.3.501 do OnePlus phát hành đã bao gồm tính năng chống hạ cấp ở cấp độ phần cứng
    • Tính năng này chặn vĩnh viễn việc người dùng cài firmware cũ hơn hoặc custom ROM
    • Nó thay đổi trạng thái bằng cách “thổi” cầu chì điện tử eFuse trong vùng Qfprom (Programmable Read-Only Memory) bên trong chipset Qualcomm
  • Khi cầu chì đã bị thay đổi, không thể khôi phục bằng phần mềm, và thay bo mạch chủ là cách khôi phục duy nhất
  • OnePlus không có tuyên bố hay giải thích chính thức nào về cơ chế này

Bối cảnh

  • OnePlus được Pete Lau và Carl Pei thành lập năm 2013, ban đầu nổi tiếng trong cộng đồng modding nhờ OnePlus One cài custom ROM dựa trên CyanogenMod
  • Sau khi chấm dứt hợp đồng với Cyanogen, hãng phát triển OxygenOS (toàn cầu) và HydrogenOS (Trung Quốc)
  • Đến năm 2021, hãng hợp nhất codebase với ColorOS của OPPO, từ đó chuyển sang hệ thống hiện nay dựa trên ColorOS

Dòng thời gian

  • 18/1: Sau bản cập nhật ColorOS 16.0.3.501, có báo cáo người dùng cố quay về phiên bản cũ thì máy vào chế độ EDL (9008) và không thể khôi phục
  • 19/1: Người dùng diễn đàn XDA AdaUnlocked đăng chủ đề cảnh báo kèm bằng chứng cầu chì CPU bị thay đổi
    • Các dịch vụ khôi phục trả phí cũng cảnh báo “thiết bị Snapdragon 8 Elite không được hạ cấp”
    • Một số người dùng báo cáo trường hợp phải thay bo mạch chủ
  • Sau 19/1: OnePlus xóa các liên kết firmware hạ cấp trên diễn đàn chính thức, bao gồm cả gói cho OnePlus 12
  • 24/1: AdaUnlocked xác nhận rằng “ROM hiện có đã được đóng gói lại với cùng số phiên bản và có kèm cơ chế kích hoạt cầu chì”

Thiết bị bị ảnh hưởng

  • OnePlus 12: ColorOS 16.0.3.500, 15.0.0.862
  • OnePlus 13 / 13T: ColorOS 16.0.3.501, 15.0.0.862
  • OnePlus 15: ColorOS 16.0.3.503
  • OnePlus Ace 5 / Ace 5 Pro: ColorOS 16.0.3.500, 15.0.0.862
  • Cả OPPO Find X7 Ultra, OPPO Pad 4 Pro, OnePlus Pad 2 Pro / Pad 3 cũng nằm trong diện này
  • Các phiên bản từ 16.0.2.402 trở xuống không bị ảnh hưởng, và cộng đồng khuyến nghị tránh OTA .500, .501, .503
  • Android Authority cho biết dòng OPPO Find X8 thuộc nhóm rủi ro cao, đồng thời nhắc đến khả năng OnePlus 11·12 cũng có thể nhận bản cập nhật tương tự

Cơ chế kỹ thuật

  • Qfprom eFuse là cầu chì điện tử chỉ có thể lập trình một lần; khi trạng thái bị đổi từ ‘0’ sang ‘1’ bằng xung điện áp, nó không thể đảo ngược
  • Khi khởi động, Primary Boot Loader sẽ kiểm tra XBL (eXtensible Boot Loader); nếu phiên bản firmware thấp hơn giá trị cầu chì, thiết bị sẽ từ chối khởi động
  • Khi firmware mới khởi động bình thường, hệ thống sẽ “thổi” thêm cầu chì thông qua Qualcomm TrustZone để ghi vĩnh viễn giá trị phiên bản tối thiểu
  • Chế độ EDL (USB 9008) không thể vượt qua lớp bảo vệ này
    • Firehose programmer yêu cầu chữ ký OEM, và nếu cầu chì đã bị thay đổi thì cũng không thể hoạt động
  • Theo giải thích trên XDA, “thổi cầu chì” không phải là hư hại vật lý hay nhiệt, mà là sự chuyển đổi điện của các cổng logic, chặn hoàn toàn đường chạy của phần mềm cũ

Tác động đến custom ROM

  • Diễn đàn XDA cảnh báo rằng “từ ColorOS 16.0.3.501 trở lên, việc cài custom ROM hiện có sẽ gây hard brick ngay lập tức
  • Phần lớn custom ROM được xây dựng trên firmware có trước khi chính sách cầu chì được áp dụng, nên không tương thích với firmware mới
  • Nhà phát triển AdaUnlocked cho biết các công việc như custom ROM, port, GSI sẽ trở nên vô dụng trên các thiết bị đã áp dụng cầu chì
  • Cộng đồng khuyến nghị không cài custom ROM trên thiết bị đã cập nhật, và nên chờ đến khi nhà phát triển xác nhận hỗ trợ dựa trên firmware mới

Phản ứng của doanh nghiệp

  • Tính đến 22/1/2026, OnePlus và OPPO không có tuyên bố chính thức, phản hồi trên diễn đàn hay đề cập trên mạng xã hội
  • Việc xóa các gói hạ cấp trên diễn đàn chính thức vào 19/1 được diễn giải là động thái có chủ đích

So sánh với các nhà sản xuất khác

  • Samsung Knox cũng dùng tính năng bảo mật dựa trên eFuse, nhưng khi cài firmware không chính thức thì chủ yếu chỉ ở mức vô hiệu hóa Samsung Pay và Secure Folder
  • Android Authority nêu rõ cách làm của OnePlus mạnh tay hơn nhiều và chặn ngay từ quá trình khởi động
  • DroidWin chỉ ra rằng “flash qua EDL là tính năng chỉ khoảng 1–2% người dùng sử dụng, nên việc chặn nó mà ảnh hưởng đến số đông người dùng là điều không hợp lý”

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-01-26
Ý kiến trên Hacker News

  • Có ý kiến nói rằng trong thời chiến, các quốc gia thù địch với Mỹ sẽ được “giải phóng” khỏi các thiết bị của họ
    Tính năng Qfprom (One-Time Programmable Fuse) của Qualcomm được nhắc đến; đây là một cầu chì điện tử chỉ có thể ghi một lần, dùng để triển khai anti-rollback
    Cũng có lời mỉa mai rằng việc tạo ra loại tính năng này thật “chu đáo”, và vì thế có ý kiến cho rằng lý do các CPU như Loongson của Trung Quốc hay Baikal của Nga bị trừng phạt là vì chúng khó bị vô hiệu hóa hơn các cầu chì lập trình được như vậy

    • Cơ chế này tồn tại để ngăn hạ cấp bootloader
      Trong chuỗi tính toán tin cậy, chỉ cần xuất hiện một lỗ hổng thì toàn bộ sẽ bị phá vỡ vĩnh viễn, nên đây là biện pháp để ngăn điều đó
      Đây cũng là một khái niệm lâu đời, đã có từ thời Motorola p2k cách đây 25 năm, và theo quan điểm này thì bản thân tính toán tin cậy không phải là điều xấu
    • Bộ nhớ OTP là thành phần cốt lõi của gần như mọi hệ thống bảo mật
      Khóa riêng của thiết bị hoặc gốc của chuỗi chứng chỉ được băm vào các cầu chì này để kẻ tấn công không thể cài firmware cũ và khai thác lỗ hổng
      Thậm chí còn có phản ứng cho rằng điều đáng ngạc nhiên là đến giờ mới có tính năng như vậy
    • eFuse từ lâu đã là công nghệ được dùng trong giai đoạn sản xuất của MCU và bộ xử lý
      Ví dụ, khi cùng dùng một MCU cho các bo mạch vào/ra âm thanh nhưng cần hoạt động khác nhau tùy cấu hình, người ta có thể cố định thiết lập bằng eFuse để firmware không cấu hình nhầm GPIO
    • Một cách đơn giản hơn là giấu khối logic kill switch trong CPU để nó kích hoạt khi phát hiện một chuỗi bit nhất định
    • Cũng có ý kiến cho rằng việc Trung Quốc đầu tư vào kiến trúc mã nguồn mở RISC-V là chiến lược để tránh các lệnh trừng phạt kiểu này hoặc sự phụ thuộc vào công nghệ đóng

  • Có người cho rằng vụ việc lần này không chỉ vượt quá vấn đề quyền được sửa chữa mà còn là vấn đề quyền sở hữu
    Nó một lần nữa cho thấy người dùng không thực sự sở hữu trọn vẹn thiết bị khi nhà sản xuất có thể cập nhật từ xa

    • Xe hơi cũng vậy, vì người dùng không thể tắt mô-đun liên lạc trên nóc xe
      Nhà sản xuất thậm chí còn kiểm soát đến mức gửi email nhắc thời điểm thay dầu, nên có người đặt câu hỏi liệu chúng ta có thật sự “sở hữu” xe hay không
    • Có ý kiến cho rằng hóa đơn mua hàng là bằng chứng cho quyền sở hữu của tôi, và kiểu vô hiệu hóa từ xa trên diện rộng như vậy là vi phạm CFAA (Đạo luật gian lận và lạm dụng máy tính), trên thực tế gần như là bán hàng gian dối
      Nếu ban điều hành biết rõ việc này thì thậm chí có thể là vi phạm RICO (luật chống tội phạm có tổ chức)
      Nhưng cũng có phản ứng châm biếm rằng dù thắng kiện thì cuối cùng có lẽ cũng chỉ nhận được kiểu “phiếu giảm 10 USD cho điện thoại OnePlus tiếp theo”

  • Có người đặt câu hỏi OnePlus được lợi gì khi làm như vậy
    Thậm chí còn nghi ngờ rằng có phải đây là mô hình kiếm lời nếu thất bại khi cập nhật dẫn đến phải thay mainboard hay không
    Và cũng suy đoán sự cố green line trước đây có thể là trường hợp cầu chì phần cứng kích hoạt sai trong lúc cập nhật phần mềm

    • Từng có một lỗi cho phép khôi phục cài đặt máy bị đánh cắp rồi kích hoạt lại, nên có giải thích rằng biện pháp lần này nhằm ngăn tấn công hạ cấp
      Đây có thể là biện pháp chống trộm hoặc để đáp ứng yêu cầu từ nhà mạng hay Google
    • lỗ hổng bootloader có thể cho phép khởi động hệ điều hành tùy ý khi có truy cập vật lý, nên cần chặn downgrade bằng eFuse
      Điều này không phải để cấm dùng custom ROM, mà chỉ chặn ROM của phiên bản cũ hơn
      ROM được build dựa trên firmware mới vẫn có thể khởi động bình thường
      Vì vậy nếu các nhà phát triển ROM hỗ trợ firmware mới thì việc dùng custom ROM sẽ lại khả thi
    • Từ góc nhìn của ban điều hành, họ không muốn trao quyền kiểm soát phần cứng cho người dùng
      Chỉ bán phần cứng thì lợi nhuận không đủ, nên họ bị chỉ trích là muốn giữ người dùng trong hệ sinh thái OS của mình và thu thập dữ liệu để kiếm lời
    • Apple cũng có chính sách tương tự là không cho downgrade sau 7 ngày
      OnePlus chỉ triển khai bằng phần cứng, còn Apple triển khai bằng chữ ký số
      Có người cho rằng cần phải bảo đảm quyền để người dùng tự ký và chạy hệ điều hành của chính mình
      Đồng thời cũng nhắc đến sự bực bội khi gặp lỗi đồng bộ Apple Watch trên iOS 26

  • Kiểu anti-rollback dựa trên eFuse này thực ra đã là tính năng phổ biến trên SoC từ 10–20 năm nay
    Khi phát hiện root exploit, quy trình bảo mật tiêu chuẩn là đốt eFuse để không thể quay lại firmware cũ dễ bị tấn công
    Có thể hiểu sức hấp dẫn của ROM hay jailbreak, nhưng theo giải thích này thì đó là hành vi dựa vào firmware cũ có lỗ hổng

    • Tuy vậy, có người phản bác rằng “điều đó không bình thường”
      Nếu đó là chiếc điện thoại tôi đã mua, thì tôi phải có quyền quyết định chạy phần mềm nào trên đó
      Nếu một bản cập nhật gửi dữ liệu của tôi sang quốc gia khác, tôi phải có quyền tự do quay về phiên bản trước
      Nhưng thay đổi lần này chặn mất quyền tự do đó, và nếu cố làm thì điện thoại sẽ bị brick

  • Theo OP, thay đổi lần này không chặn việc unlock bootloader
    Chỉ là nó không còn tương thích với các custom ROM cũ, nên cần phát triển ROM phù hợp với trạng thái eFuse mới

    • Sau đó có người hỏi “vậy cụ thể phải làm thế nào mới tương thích”
      Họ muốn biết quy trình tạo ROM phù hợp với trạng thái eFuse là gì

  • Có người cho biết sau khi thấy thông báo cập nhật hôm qua thì đã tắt cập nhật tự động
    Họ nói sẽ không cập nhật cho đến khi hiểu rõ tình hình hơn

  • Có người mượn câu “hoặc chết như một anh hùng, hoặc sống đủ lâu để trở thành kẻ phản diện” để châm biếm sự thay đổi của OnePlus

    • Người khác bổ sung rằng “thực ra dấu hiệu đã xuất hiện từ khi ra mắt dòng Nord”

  • Có ý kiến cho rằng Cyber Resilience Act (CRA) của EU sẽ buộc mọi thiết bị phải có khởi động chống giả mạo từ năm 2027
    Điều này làm dấy lên lo ngại rằng FOSS và khả năng sửa chữa sẽ suy giảm, đồng thời dẫn đến tác dụng phụ là nếu nhà cung cấp biến mất thì phần cứng sẽ thành cục gạch

  • Trước đây, các điện thoại Android vô danh dùng SoC Mediatek thường ở trạng thái mở khóa mặc định và gần như không bao giờ bị brick, nên văn hóa mod rất phát triển
    Có người hồi tưởng rằng eFuse khi đó vẫn tồn tại, chỉ là phần mềm không sử dụng đến nó

  • Trong quá trình khởi động, XBL (Extensible Boot Loader) sẽ đọc phiên bản anti-rollback từ cầu chì Qfprom rồi so sánh với phiên bản trong firmware
    Nếu firmware mới khởi động thành công, nó sẽ đốt cầu chì thông qua TrustZone để cập nhật phiên bản tối thiểu
    Nếu custom ROM dựa trên firmware cũ hơn thì sẽ bị chặn ngay lập tức

    • Có giải thích kỹ thuật thêm rằng XBL và ABL (Secondary Bootloader) đều mang thông tin phiên bản, và nếu thấp hơn giá trị trong eFuse thì sẽ bị từ chối
      Android Verified Boot (AVB) so sánh hash kernel với chữ ký trong phân vùng vbmeta, còn Replay Protected Memory Block (RPMB) lưu phiên bản tối thiểu để ngăn rollback
      Phân vùng super là hệ thống tệp gốc chỉ đọc được bảo vệ bằng dm-verity
    • Một người khác bổ sung rằng để việc này khả thi thì metadata đã ký phải chứa thông tin phiên bản
      Nếu người dùng có thể tự ký hoặc tắt kiểm tra chữ ký, thì chỉ cần đáp ứng điều kiện phiên bản là vẫn có thể chạy bản khởi động mình muốn