Odkryto backdoor w smartfonach OnePlusa. Co na to producent?
Pewien programista odkrył oprogramowanie preinstalowane w smartfonach firmy OnePlus, które może być backdoorem umożliwiającym innym programom zdobycie dostępu do konta root. Chiński producent szybko udzielił komentarza w tej sprawie, ale ton wypowiedzi jasno wskazuje, że nie widzi on zagrożenia dla bezpieczeństwa użytkowników jego telefonów.
OnePlus 5
Aplikacja Qualcomm, która nie powinna trafić do sprzedawanych smartfonów OnePlusa
Elliot Alderson, który na Twitterze jest znany jako @fs0c131y, podzielił się ze światem ciekawym odkryciem. Programista znalazł bowiem w oprogramowaniu OxygenOS, na którym bazują m.in. modele OnePlus 5, 3T i 3, aplikację o nazwie "Engineer Mode". Jest to stworzony przez Qualcomma zbiór narzędzi służących do testowania modeli opartych na układach Snapdragon.
Samo wykorzystanie programu amerykańskiej firmy nie dziwi, bo korzysta z niego wielu producentów. Dziwi jednak jego obecność w finalnym wydaniu, gdyż program może być wykorzystany jako backdoor (luka w zabezpieczeniach), który umożliwi innym aplikacjom dostęp do konta root. Sam Elliot przygotował nawet odpowiedni program, który chciał zamieścić w sklepie Google Play.
Wiadomość o tym potencjalnym zagrożeniu szybko trafiła do przedstawicieli OnePlusa. Zostali poproszeni nie tylko o wyjaśnienie dlaczego EngineedMode trafił do publicznego wydania OxygenOS. Na odpowiedź nie trzeba było długo czekać - pojawiła się w dzień po informacji.
OnePlus nie widzi wielkiego problemu
Firma oficjalnym komunikat wydała na swoim forum i zwróciła w nim uwagę przede wszystkim na to, że Engineer Mode jest wykorzystywany również przez obsługę techniczną OnePlusa jako narzędzie diagnostyczne (w przypadku sprzedanych modeli). Chińczycy wskazali również, że nie tak łatwo dostać się za jej pomocą do konta root.
EngineerMode daje dostęp tylko do opcji abd root (Android Debug Bridge), co oznacza, że proces musi zostać przeprowadzony za pomocą oprogramowania na komputerze. To możliwe będzie dopiero w sytuacji, gdy włączony będzie tryb debugowania USB, który jest standardowo wyłączony i nie ma mowy, aby przeciętny użytkownik uruchomił go przypadkowo. Najbardziej istotne ma być to, że osoba, która chce dostać roota, musi mieć telefon w swoich rękach.
Firma OnePlus nie tylko uspokaja, ale podjęła już odpowiednie kroki. Funkcja umożliwiająca korzystanie z opcji adb root ma zostać usunięta z aplikacji Engineer Mode już wraz z najbliższą aktualizacją oprogramowania OxygenOS.
Chińczycy po raz kolejny pokazali więc, że nie tylko potrafią błyskawicznie odpowiadać na kwestie związane z rozwijanym przez siebie oprogramowanie, ale również szybko wprowadzać zmiany, które mają zadowolić użytkowników. Takie podejście po prostu się chwali. Ba, można nawet wybaczyć, że firma otwarcie nie przyznaje się do popełnienia błędu...
