Gli smartphone OnePlus hanno una backdoor che da accesso al root e questo è male
Circa una mese fa la società cinese OnePlus era già stata presa con le mani in pasta mentre collezionava dati di utilizzo dei propri utenti incredibilmente dettagliati e a loro insaputa. La società ha ovviamente risolto il problema ma sembra che nuove falle di sicurezza siano state scoperte nel software della casa e le notizie non sono per niente rassicuranti, soprattutto visto l'arrivo imminente di OnePlus 5T.
La società cinese capitanata da Carl Pei non è nuova alle bufere relative alla sicurezza dei dati dei propri clienti e la falla di sicurezza scoperta da un developer di nome Elliot Alderson non farà di certo calmare le acque recentemente agitate dalla vicenda della raccolta di dati di utilizzo dai propri smartphone.
So yes, if you send the command: adb shell am start -n https://t.co/yYfeX14Ioj.engineeringmode/.qualcomm.DiagEnabled –es "code" "password" with the correct code you can become root!
— Elliot Alderson (@fs0c131y) November 13, 2017
Sembrerebbe che un'applicazione preinstallata all'interno degli smartphone OnePlus, applicazione utilizzata per i test automatizzati all'interno delle fabbriche, sia attualmente in grado di garantire ai malintenzionati l'accesso ai privilegi di root all'interno dello smartphone rivelando una grossa minaccia per la sicurezza degli utenti. Chiunque sia in grado di accedere ai privilegi di root all'interno di uno smartphone, infatti, ha il pieno controllo di tutti i file e di tutto ciò che succede nel sistema.
L'applicazione chiamata EngineerMode è stata trovata sul recente OnePlus 5 ma anche sui modelli precedenti 3T, 3 e perfino sulla OxygenOS per OnePlus One (ma non sull'originale CyanogenOS). Il developer ha trovato che lanciando l'activity dell'applicazione chiamata DiagEnabled con una password specifica (che ci auguriamo non sia password o 123456 N.d.R.) ci sia modo di ottenere i permessi di root sul terminale.
Thanks for the heads up, we're looking into it.
— Carl Pei (@getpeid) November 13, 2017
Il developer vuole rilasciare un'app che permetterà agli utenti di ottenere facilmente i permessi di root su questi terminali per chi la volesse (il che è bene) ma questo non toglie che rimanga aperta una falla di sicurezza sfruttabile anche sui terminali di chi i permessi di root proprio non li volesse (il che è terribile). La probabilità che qualcuno abbia già preso vantaggio su questa vulnerabilità a danno degli utenti è molto bassa ma il rischio per gli utenti rimane. Carl Pei, co-founder dell'azienda, ha già annunciato su Twitter che l'azienda sta cercando di risolvere la cosa.
Nel frattempo lo stesso sviluppatore ha affermato che l'applicazione di per sé è stata sviluppata da Qualcomm e non da OnePlus. La colpa più grande è quindi di Qualcomm che ha creato, volontariamente o no, la backdoor e di OnePlus per non aver verificato e sistemato la cosa. L'applicazione potrebbe essere preinstallata in altri smartphone con chipset Qualcomm quindi altri smartphone di altre aziende potrebbero essere coinvolti.
Once again this app is a system app made by @Qualcomm. So possibly a lot of @Qualcomm based phones are affected. Can you open Settings -> Apps -> Menu -> Show system apps and search EngineerMode in the list to check? If you find the app reply to this tweet with your device model
— Elliot Alderson (@fs0c131y) November 14, 2017
E voi cosa ne pensate? Con l'arrivo imminente di OnePlus 5T darete ancora fiducia all'azienda?
Fonte: AndroidPolice