Qualcomm-app i OnePlus Oxygen OS ger enkel rootaccess

Postat:

10:22 - 2017-11-14

Skribent:

Kommentarer:

Qualcomm-app i OnePlus Oxygen OS ger enkel rootaccess

En Twitter-användare med visningsnamnet Elliot Alderson (taget från tv-serien Mr Robot) har upptäckt att ett diagnostiseringsverktyg från Qualcomm ligger kvar i OnePlus gränssnitt Oxygen OS. Verktyget är enligt utsago anpassat av OnePlus.

Efter att ha dekompilerat det så kallade EngineerMode upptäckte Alderson att verktyget enkelt kan ge rootaccess genom ADB-kommando, utan att bootloadern behöver låsas upp. Appen ligger enligt utsago i alla OnePlus-modeller som kör Oxygen OS.

The best thing in this story is the password. It's angela (see the reference?). This backdoor is here intentionally. When the fiction become a reality. Good luck @getpeid, you will need a very good explanation.
cc @whoismrrobot pic.twitter.com/IJgsu6hCEc

— Elliot Alderson (@fs0c131y) November 14, 2017

Med hjälp av säkerhetsexperter lyckades Alderson få tag på lösenordet som krävs för att EngineerMode ska ge telefonen rootaccess, vilket lustigt nog sägs vara ”angela” – även det en karaktär i Mr Robot.

Carl Pei från OnePlus säger att de ”undersöker saken”. Exakt vad verktyget innebär för säkerheten är oklart, men EngineerMode kan ses som en slags bakdörr. Alderson har sagt att han kommer publicera en app som ger Oxygen OS-enheter rootaccess, genom EngineerMode.

<Thread> Hey @OnePlus! I don't think this EngineerMode APK must be in an user build…?‍♂️
This app is a system app made by @Qualcomm and customised by @OnePlus. It's used by the operator in the factory to test the devices. pic.twitter.com/lCV5euYiO6

— Elliot Alderson (@fs0c131y) November 13, 2017