Según los usuarios de Reddit y los foros de OnePlus, cada vez que el dueño de un OnePlus 3 comprueba si hay actualizaciones de software a través del menú de Ajustes, su IMEI se envía sin cifrar a los servidores de OnePlus con HTTP y no HTTPS.
Lo que ocurre es que cuando pulsas sobre «Comprobar actualizaciones», se envía una petición POST a una URL concreta. Esta petición contiene el IMEI del dispositivo dentro del user agent, así como en una cabecera con el nombre «imei»
Debido a esto, si los usuarios del OnePlus 3 están en una red sin cifrar (por ejemplo una cafetería con acceso WiFi público), su IMEI quedaría al descubierto. Con un IMEI en las manos equivocadas es posible bloquear un teléfono (marcarlo como perdido, borrado, etc.) en la base de datos de un operador. Aunque este cambio se puede echar para atrás, no es un proceso por el que ninguno quiera pasar.
Las probabilidades de que te roben el IMEI no son elevadas, ya que el usuario del OnePlus 3 tendría que estar en una red abierta y comprobar si hay una actualización a la vez que un atacante está conectado a esa misma red escuchando el tráfico. No obstante, el riesgo existe y OnePlus debería solucionarlo.
Por el momento OnePlus no se ha pronunciado al respecto de esta vulnerabilidad.