อัปเดตสมาร์ตโฟน OnePlus เพิ่มฟีเจอร์ป้องกันการย้อนเวอร์ชันระดับฮาร์ดแวร์

 (consumerrights.wiki)
1 คะแนน โดย GN⁺ 2026-01-26 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เฟิร์มแวร์ ColorOS 16.0.3.501 ที่ปล่อยในเดือนมกราคม 2026 ได้รวมฟีเจอร์ ป้องกันการย้อนเวอร์ชันแบบใช้ฮาร์ดแวร์ (anti-rollback) ซึ่งบล็อกการติดตั้งเวอร์ชันเก่าหรือการแฟลช custom ROM แบบถาวร
  • อัปเดตนี้เปลี่ยนแปลง eFuse ของโปรเซสเซอร์ Qualcomm ในระดับกายภาพ ทำให้เมื่อพยายามติดตั้งเวอร์ชันก่อนหน้า อุปกรณ์จะเข้าสู่สถานะใช้งานไม่ได้โดยสมบูรณ์ (hard brick)
  • มีหลายรุ่นที่ได้รับผลกระทบ เช่น OnePlus 13, 15, Ace 5 series และแพ็กเกจดาวน์เกรดของบางรุ่นเก่าก็ถูกลบออกจากเว็บไซต์ทางการแล้ว
  • ใน ฟอรัม XDA มีคำเตือนถึงผู้ใช้ custom ROM ให้ “หลีกเลี่ยง OTA เวอร์ชัน .500, .501, .503” และแนะนำให้อุปกรณ์ที่อัปเดตไปแล้วหยุดติดตั้ง custom ROM
  • OnePlus และ OPPO ยังไม่ได้ออกแถลงการณ์อย่างเป็นทางการ และในวงการมองว่ามาตรการนี้เข้มงวดกว่า Samsung Knox มาก

ภาพรวมเหตุการณ์

  • ในเดือนมกราคม 2026 เฟิร์มแวร์ ColorOS 16.0.3.501 ที่ OnePlus ปล่อยออกมาได้รวม ฟีเจอร์ป้องกันการย้อนเวอร์ชันระดับฮาร์ดแวร์
    • ฟีเจอร์นี้จะบล็อกแบบถาวรไม่ให้ผู้ใช้ติดตั้งเฟิร์มแวร์เวอร์ชันเก่าหรือ custom ROM
    • โดยจะ “เป่า (blow)” eFuse ที่อยู่ในพื้นที่ Qfprom (Programmable Read-Only Memory) ภายในชิปเซ็ต Qualcomm เพื่อเปลี่ยนสถานะ
  • เมื่อฟิวส์ถูกเปลี่ยนสถานะแล้ว จะไม่สามารถกู้คืนด้วยซอฟต์แวร์ได้ และระบุว่า การเปลี่ยนเมนบอร์ดคือวิธีกู้คืนเพียงวิธีเดียว
  • OnePlus ยังไม่มีแถลงการณ์หรือคำชี้แจงอย่างเป็นทางการ เกี่ยวกับกลไกนี้

เบื้องหลัง

  • OnePlus ก่อตั้งในปี 2013 โดย Pete Lau และ Carl Pei และในช่วงแรกได้รับความนิยมจากชุมชนม็อดด้วย OnePlus One ที่มาพร้อม custom ROM บนพื้นฐานของ CyanogenMod
  • หลังจากสิ้นสุดสัญญากับ Cyanogen บริษัทได้พัฒนา OxygenOS (ทั่วโลก) และ HydrogenOS (จีน)
  • ในปี 2021 บริษัทได้ รวมโค้ดเบสกับ ColorOS ของ OPPO และเปลี่ยนมาใช้ระบบบนพื้นฐาน ColorOS แบบปัจจุบัน

ไทม์ไลน์

  • 18 มกราคม: หลังอัปเดต ColorOS 16.0.3.501 มีรายงานว่าผู้ใช้พยายามย้อนกลับไปเวอร์ชันเก่าแล้วเข้าสู่ โหมด EDL (9008) และไม่สามารถกู้คืนได้
  • 19 มกราคม: ผู้ใช้ฟอรัม XDA ชื่อ AdaUnlocked โพสต์เธรดเตือนพร้อมหลักฐานความเสียหายของฟิวส์ CPU
    • บริการกู้คืนแบบเสียเงินก็เตือนเช่นกันว่า “อุปกรณ์ Snapdragon 8 Elite ห้ามดาวน์เกรด”
    • ผู้ใช้บางรายรายงานว่า จำเป็นต้องเปลี่ยนเมนบอร์ด
  • หลังวันที่ 19 มกราคม: OnePlus ลบลิงก์เฟิร์มแวร์สำหรับดาวน์เกรด ออกจากฟอรัมทางการ และลบแพ็กเกจของ OnePlus 12 ออกด้วย
  • 24 มกราคม: AdaUnlocked ยืนยันว่า “ROM เดิมถูกรีแพ็กเกจด้วยหมายเลขเวอร์ชันเดิมแต่มีทริกเกอร์ฟิวส์รวมอยู่”

อุปกรณ์ที่ได้รับผลกระทบ

  • OnePlus 12: ColorOS 16.0.3.500, 15.0.0.862
  • OnePlus 13 / 13T: ColorOS 16.0.3.501, 15.0.0.862
  • OnePlus 15: ColorOS 16.0.3.503
  • OnePlus Ace 5 / Ace 5 Pro: ColorOS 16.0.3.500, 15.0.0.862
  • รวมถึง OPPO Find X7 Ultra, OPPO Pad 4 Pro, OnePlus Pad 2 Pro / Pad 3
  • เวอร์ชัน 16.0.2.402 หรือต่ำกว่าไม่ได้รับผลกระทบ และชุมชนแนะนำให้ หลีกเลี่ยง OTA เวอร์ชัน .500, .501, .503
  • Android Authority ระบุว่า OPPO Find X8 series อยู่ในกลุ่มความเสี่ยงสูง และ OnePlus 11·12 ก็อาจได้รับอัปเดตลักษณะเดียวกัน

กลไกทางเทคนิค

  • Qfprom eFuse เป็นฟิวส์อิเล็กทรอนิกส์ที่โปรแกรมได้เพียงครั้งเดียว เมื่อสถานะถูกเปลี่ยนจาก ‘0’ เป็น ‘1’ ด้วยพัลส์แรงดันไฟ จะไม่สามารถย้อนกลับได้
  • ระหว่างบูต Primary Boot Loader จะตรวจสอบ XBL (eXtensible Boot Loader) และหากเวอร์ชันเฟิร์มแวร์ต่ำกว่าค่าฟิวส์ ระบบจะปฏิเสธการบูต
  • เมื่อเฟิร์มแวร์ใหม่บูตสำเร็จ ระบบจะใช้ Qualcomm TrustZone เพื่อเป่าฟิวส์เพิ่มเติม และบันทึกค่าเวอร์ชันขั้นต่ำแบบถาวร
  • โหมด EDL (USB 9008) ไม่สามารถข้ามการป้องกันนี้ได้
    • เนื่องจาก Firehose programmer ต้องใช้ลายเซ็น OEM และหากฟิวส์ถูกเปลี่ยนแล้วก็จะไม่สามารถทำงานได้
  • ตามคำอธิบายใน XDA “การเป่าฟิวส์” ไม่ใช่ความเสียหายทางกายภาพหรือความร้อน แต่เป็น การสลับสถานะทางไฟฟ้าของลอจิกเกต ซึ่งปิดเส้นทางการรันซอฟต์แวร์เวอร์ชันก่อนหน้าอย่างสมบูรณ์

ผลกระทบต่อ custom ROM

  • ฟอรัม XDA เตือนว่า “ตั้งแต่ ColorOS 16.0.3.501 เป็นต้นไป หากติดตั้ง custom ROM เดิมจะเกิด hard brick ทันที
  • custom ROM ส่วนใหญ่ถูกพัฒนาบนพื้นฐานเฟิร์มแวร์ ก่อนมีนโยบายฟิวส์ จึงไม่เข้ากันกับเฟิร์มแวร์ใหม่
  • นักพัฒนา AdaUnlocked ระบุว่างานด้าน custom ROM, พอร์ต และ GSI จะ ใช้การไม่ได้บนอุปกรณ์ที่มีการใช้ฟิวส์นี้
  • ชุมชนแนะนำว่า ห้ามติดตั้ง custom ROM บนอุปกรณ์ที่อัปเดตแล้ว และควรรอจนกว่านักพัฒนาจะระบุการรองรับบนพื้นฐานเฟิร์มแวร์ใหม่

การตอบสนองของบริษัท

  • ณ วันที่ 22 มกราคม 2026 OnePlus และ OPPO ยังไม่มีทั้งแถลงการณ์อย่างเป็นทางการ คำตอบในฟอรัม หรือการกล่าวถึงบนโซเชียลมีเดีย
  • การลบแพ็กเกจดาวน์เกรดออกจากฟอรัมทางการในวันที่ 19 มกราคม ถูกตีความว่าเป็น การดำเนินการโดยเจตนา

การเปรียบเทียบกับผู้ผลิตรายอื่น

  • Samsung Knox ก็ใช้ความปลอดภัยบนพื้นฐาน eFuse เช่นกัน แต่ในกรณีติดตั้งเฟิร์มแวร์ที่ไม่เป็นทางการ ผลกระทบมักอยู่ในระดับ ปิดการใช้งาน Samsung Pay และ Secure Folder
  • Android Authority ระบุว่า แนวทางของ OnePlus เข้มงวดกว่ามาก และถึงขั้นบล็อกการบูตโดยตรง
  • DroidWin ชี้ว่า “การแฟลชผ่าน EDL เป็นฟีเจอร์ที่มีผู้ใช้เพียง 1–2% ของทั้งหมด แต่การปิดกั้นสิ่งนี้กลับส่งผลกระทบต่อผู้ใช้จำนวนมาก จึงไม่สมเหตุสมผล”

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-01-26
ความเห็นจาก Hacker News

  • มีคนพูดว่าในสถานการณ์สงคราม ศัตรูของสหรัฐอาจจะ "เป็นอิสระ" จากอุปกรณ์ของตัวเองได้
    มีการกล่าวถึงฟีเจอร์ Qfprom (One-Time Programmable Fuse) ของ Qualcomm ซึ่งเป็นฟิวส์อิเล็กทรอนิกส์ที่เขียนได้เพียงครั้งเดียวและใช้เพื่อทำ anti-rollback
    มีการประชดว่าการสร้างฟีเจอร์แบบนี้ช่าง “ช่างคิด” จริง ๆ และมีความเห็นว่าเหตุผลที่ CPU อย่าง Loongson ของจีนหรือ Baikal ของรัสเซียถูกคว่ำบาตร ก็เพราะปิดการทำงานได้ยากกว่าฟิวส์แบบ programmatic พวกนี้

    • กลไกแบบนี้มีไว้เพื่อ ป้องกันการดาวน์เกรด bootloader
      เพราะเมื่อเชนการประมวลผลที่เชื่อถือได้มีช่องโหว่ขึ้นมาครั้งหนึ่ง มันจะพังไปตลอด จึงต้องมีวิธีป้องกัน
      มีคำอธิบายว่านี่เป็นแนวคิดเก่าแก่ตั้งแต่ยุค Motorola p2k เมื่อ 25 ปีก่อน และตัว trusted computing เองก็ไม่ใช่สิ่งชั่วร้ายเสมอไป
    • หน่วยความจำ OTP เป็นองค์ประกอบหลักของระบบความปลอดภัยแทบทุกแบบ
      คีย์เฉพาะเครื่องหรือรากของสายโซ่ใบรับรองจะถูกแฮชไว้ในฟิวส์นี้ เพื่อไม่ให้ผู้โจมตีติดตั้งเฟิร์มแวร์เก่าเพื่อใช้ประโยชน์จากช่องโหว่ได้
      บางคนถึงกับบอกว่าที่น่าแปลกกว่าคือจนถึงตอนนี้ยังไม่มีฟีเจอร์นี้
    • eFuse เป็นเทคโนโลยีที่ถูกใช้ในขั้นตอนการผลิตของ MCU หรือโปรเซสมานานแล้ว
      ตัวอย่างเช่น เมื่อใช้ MCU รุ่นเดียวกันในบอร์ดอินพุต/เอาต์พุตเสียง แต่ต้องให้ทำงานต่างกันตามการตั้งค่า ก็สามารถล็อกคอนฟิกไว้ด้วย eFuse เพื่อไม่ให้เฟิร์มแวร์ไปตั้งค่า GPIO ผิด
    • วิธีที่ง่ายกว่านั้นคือซ่อน บล็อกลอจิก kill switch ไว้ใน CPU แล้วให้มันทำงานเมื่อเจอลำดับบิตเฉพาะ
    • มีความเห็นว่าที่จีนลงทุนใน สถาปัตยกรรมโอเพนซอร์ส RISC-V ก็เป็นกลยุทธ์เพื่อหลีกเลี่ยงการคว่ำบาตรหรือการพึ่งพาเทคโนโลยีปิดแบบนี้

  • มีคนโต้แย้งว่าประเด็นนี้ไม่ได้เป็นแค่เรื่อง สิทธิในการซ่อม แต่เป็นเรื่องของ กรรมสิทธิ์ เลย
    เพราะมันแสดงให้เห็นอีกครั้งว่าผู้ใช้ไม่ได้เป็นเจ้าของอุปกรณ์อย่างแท้จริง หากยังถูกอัปเดตจากระยะไกลได้

    • รถยนต์ก็เป็นแบบเดียวกัน เพราะไม่สามารถปิดโมดูลสื่อสารบนหลังคาได้
      ผู้ผลิตควบคุมถึงขั้นส่งอีเมลมาเตือนเวลาเปลี่ยนน้ำมันเครื่อง ทำให้เกิดคำถามว่าเราจะเรียกว่าตัวเอง “เป็นเจ้าของ” รถได้จริงหรือไม่
    • ใบเสร็จซื้อคือหลักฐานความเป็นเจ้าของของฉัน แต่การ ปิดใช้งานจากระยะไกล ในวงกว้างแบบนี้ถือว่าผิด CFAA (Computer Fraud and Abuse Act) และในทางปฏิบัติก็แทบจะเป็น การขายโดยฉ้อโกง
      ถ้าฝ่ายบริหารรู้เห็นด้วย ก็อาจเข้าข่ายผิด RICO (กฎหมายต่อต้านองค์กรอาชญากรรม) ได้
      แต่ก็มีคนประชดว่าต่อให้ชนะคดีก็คงจบลงที่ “คูปองส่วนลด OnePlus เครื่องถัดไป 10 ดอลลาร์” เท่านั้น

  • มีคำถามว่า OnePlus ได้อะไรจากการทำแบบนี้
    บางคนถึงกับสงสัยว่าโครงสร้างรายได้อาจทำให้ การอัปเดตล้มเหลวจนต้องเปลี่ยนเมนบอร์ด กลายเป็นช่องทางเพิ่มรายได้หรือไม่
    และคาดเดาว่าเหตุการณ์ green line ในอดีตอาจเป็นกรณีที่ฮาร์ดแวร์ฟิวส์ทำงานผิดพลาดระหว่างอัปเดตซอฟต์แวร์ก็ได้

    • มีคำอธิบายว่าเคยมีบั๊กที่ทำให้รีเซ็ตโทรศัพท์ที่ถูกขโมยแล้วเปิดใช้งานใหม่ได้ และมาตรการครั้งนี้มีไว้เพื่อ ป้องกันการโจมตีแบบดาวน์เกรด
      อาจเป็นมาตรการเพื่อกันการขโมย หรือเพื่อให้สอดคล้องกับข้อกำหนดของผู้ให้บริการเครือข่ายและ Google
    • เพราะมี ช่องโหว่ของ bootloader ที่เปิดทางให้บูต OS ใดก็ได้เมื่อเข้าถึงเครื่องทางกายภาพ จึงต้องใช้ eFuse เพื่อ บล็อกการดาวน์เกรด
      นี่ไม่ได้เป็นการห้ามใช้ custom ROM เอง แต่ห้ามเฉพาะ ROM เวอร์ชันเก่า
      ROM ที่บิลด์บนเฟิร์มแวร์ใหม่ยังบูตได้ตามปกติ
      ดังนั้นถ้านักพัฒนา ROM รองรับเฟิร์มแวร์ใหม่ ก็จะกลับมาใช้ custom ROM ได้อีก
    • ในมุมของผู้บริหาร พวกเขาไม่อยากให้ผู้ใช้มี อำนาจควบคุมฮาร์ดแวร์
      เพราะกำไรจากการขายฮาร์ดแวร์อย่างเดียวไม่พอ จึงต้องการ ผูกผู้ใช้ไว้กับระบบนิเวศ OS ของบริษัทและเก็บข้อมูล เพื่อทำกำไรเพิ่มเติม
    • Apple ก็มีนโยบายคล้ายกันคือ ห้ามดาวน์เกรดหลัง 7 วัน
      OnePlus แค่ทำด้วยวิธีฮาร์ดแวร์ ส่วน Apple ใช้วิธีตรวจลายเซ็น
      มีคนยืนยันว่าผู้ใช้ควรมีสิทธิ์ลงลายเซ็นและรัน OS ด้วยตัวเอง
      พร้อมบ่นถึงปัญหาซิงก์ Apple Watch ใน iOS 26 ไปด้วย

  • มีความเห็นว่า anti-rollback แบบอิง eFuse เป็นฟีเจอร์ปกติใน SoC มาตั้งแต่ 10–20 ปีก่อนแล้ว
    เมื่อพบ root exploit การเผา eFuse เพื่อไม่ให้ย้อนกลับไปใช้เฟิร์มแวร์เก่าที่มีช่องโหว่ถือเป็นขั้นตอนความปลอดภัยมาตรฐาน
    แม้จะเข้าใจเสน่ห์ของ ROM หรือการ jailbreak แต่นั่นก็คือการพึ่งพา เฟิร์มแวร์เก่าที่มีช่องโหว่

    • แต่ผู้ใช้บางคนโต้ว่า “นั่นไม่ใช่เรื่องปกติ”
      ถ้าเป็นโทรศัพท์ที่ฉันซื้อมา ฉันควรมี สิทธิ์ตัดสินใจเอง ว่าจะรันซอฟต์แวร์อะไร
      หากการอัปเดตส่งข้อมูลของฉันไปยังอีกประเทศหนึ่ง ฉันก็ควรมีอิสระที่จะย้อนกลับไปเวอร์ชันก่อนหน้า
      แต่การเปลี่ยนแปลงครั้งนี้กลับปิดกั้นเสรีภาพนั้น และถ้าพยายามทำ โทรศัพท์ก็จะ กลายเป็นที่ทับกระดาษ

  • ตามที่ OP บอก การเปลี่ยนแปลงครั้งนี้ ไม่ได้ห้ามการปลดล็อก bootloader โดยตัวมันเอง
    เพียงแต่ทำให้ไม่เข้ากันกับ custom ROM รุ่นเก่า จึงต้องพัฒนา ROM ให้สอดคล้องกับสถานะ eFuse ใหม่

    • มีคนถามกลับว่า “แล้วต้องทำอย่างไรถึงจะเข้ากันได้”
      เพราะอยากรู้ขั้นตอนการทำ ROM ให้ตรงกับสถานะ eFuse

  • ผู้ใช้คนหนึ่งบอกว่าเมื่อวานเห็นการแจ้งเตือนอัปเดตแล้วก็ ปิดการอัปเดตอัตโนมัติไปเลย
    และจะยังไม่อัปเดตจนกว่าจะเข้าใจสถานการณ์มากกว่านี้

  • มีการเสียดสีการเปลี่ยนไปของ OnePlus ด้วยคำพูดว่า “ตายในฐานะฮีโร่ หรือมีชีวิตอยู่นานพอจนกลายเป็นวายร้าย”

    • อีกคนเสริมว่า “จริง ๆ ก็เริ่มเห็นเค้าลางตั้งแต่เปิดตัวไลน์ Nord แล้ว”

  • มีคนบอกว่า Cyber Resilience Act (CRA) ของสหภาพยุโรปจะบังคับให้อุปกรณ์ทุกชนิดต้องมี การบูตที่แก้ไขไม่ได้ ตั้งแต่ปี 2027 เป็นต้นไป
    ซึ่งอาจทำให้ FOSS และความสามารถในการซ่อมลดลง และมีผลข้างเคียงคือ ถ้าผู้ขายหายไป ฮาร์ดแวร์ก็จะกลายเป็นที่ทับกระดาษ

  • มีการรำลึกว่าสมัยก่อน โทรศัพท์แอนดรอยด์โนเนมที่ใช้ Mediatek SoC มักปลดล็อกมาให้โดยปริยาย และแทบไม่ brick กันง่าย ๆ จนวัฒนธรรมการ modding เติบโตมาก
    แม้จะมี eFuse อยู่ แต่ซอฟต์แวร์ในตอนนั้นไม่ได้ใช้งานมัน

  • ในกระบวนการบูต XBL (Extensible Boot Loader) จะอ่านเวอร์ชัน anti-rollback จากฟิวส์ Qfprom แล้วเปรียบเทียบกับเวอร์ชันในเฟิร์มแวร์
    หากเฟิร์มแวร์ใหม่บูตสำเร็จ ก็จะเผาฟิวส์ผ่าน TrustZone เพื่ออัปเดตเวอร์ชันขั้นต่ำ
    ถ้า custom ROM อ้างอิงเฟิร์มแวร์เก่า ก็จะถูกบล็อกทันที

    • มีคำอธิบายทางเทคนิคเพิ่มเติมว่า XBL และ ABL (Secondary Bootloader) ต่างมีข้อมูลเวอร์ชันอยู่ และหากต่ำกว่าค่าใน eFuse ก็จะถูกปฏิเสธ
      Android Verified Boot (AVB) จะเปรียบเทียบแฮชของเคอร์เนลกับลายเซ็นในพาร์ทิชัน vbmeta และมีการเก็บเวอร์ชันต่ำสุดไว้ใน Replay Protected Memory Block (RPMB) เพื่อป้องกัน rollback
      พาร์ทิชัน super เป็นรูทไฟล์ซิสเต็มแบบอ่านอย่างเดียวที่ได้รับการป้องกันด้วย dm-verity
    • อีกคนเสริมว่า “ถ้าจะทำแบบนี้ได้ ข้อมูลเมตาที่ลงลายเซ็น ก็ต้องมีเวอร์ชันรวมอยู่ด้วย”
      และถ้าผู้ใช้ลงลายเซ็นเองได้หรือปิดการตรวจลายเซ็นได้ ตราบใดที่เงื่อนไขเวอร์ชันผ่าน ก็ยังบูตสิ่งที่ต้องการได้