2017/11/14

OnePlus tem backdoor para fazer root sem unlock


A poucos dias da apresentação do OnePlus 5T e apenas um mês após o caso da recolha excessiva de dados dos utilizadores, a OnePlus volta a ficar numa posição complicada, com a descoberta de uma forma simples de obter acesso root mesmo sem desbloquear o bootloader.

O processo recorre a uma app chamada EngineerMode que vem incluída de origem nos smartphones da OnePlus, e que tem como propósito facilitar o teste dos equipamentos durante o processo de produção e comprovar que tudo está a funcionar devidamente. O problema é que entre as capacidades desta app também se encontra a possibilidade da mesma obter acesso root.

Para isso é preciso uma password, que foi rapidamente descoberta: "angela". Uma password que é uma clara alusão à série Mr.Robot e que também tem sido considerada como uma "prova" de que este se trata de um backdoor deliberadamente deixado nos equipamentos, com intenções bastante duvidosas.

Eu não sou tão radical, e considero que esta password poderá meramente ter sido escolhida de forma perfeitamente inofensiva por um developer que seja fã da série - e que se o objectivo fosse criar um backdoor secreto, provavelmente utilizariam uma password bem mais complicada. Mas o que é certo é que, de uma forma ou de outra, esta é uma funcionalidade que poderá ser explorada em conjunto com outras vulnerabilidade, deixando os utilizadores sujeitos a riscos acrescidos.

O CEO da OnePlus já respondeu no Twitter dizendo que o assunto já estava a ser analisado... ficamos a aguardar a resposta oficial.


Actualização: a OnePlus já veio esclarecer a situação.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]