A causa dell’applicazione di sistema chiamata “EngineerMode” utilizzata per funzioni di test in fabbrica, gli smartphone OnePlus sono vulnerabili a uno speciale comando adb che permette l’ottenimento dei permessi di root senza nemmeno sbloccarli.
A svelarci questa potenziale falla di sicurezza ci ha pensato lo sviluppatore Elliot Alderson attraverso il suo account Twitter:
You can access to the “main” activity by sending this command: adb shell am start https://t.co/yYfeX14Ioj.engineeringmode/.EngineeringMode
You will have access to everything, not just the manual test. pic.twitter.com/UkwXPPmPDV— Elliot Alderson (@fs0c131y) November 13, 2017
So yes, if you send the command: adb shell am start -n https://t.co/yYfeX14Ioj.engineeringmode/.qualcomm.DiagEnabled –es “code” “password” with the correct code you can become root!
— Elliot Alderson (@fs0c131y) November 13, 2017
Insomma, basta un semplice comando adb per ottenere i permessi di root sugli smartphone OnePlus. Questo aspetto può essere visto sia in maniera positiva che negativa:
- E’ positivo perché semplifica le operazioni di root, permettendo di personalizzare il proprio smartphone in maniera più rapida
- E’ negativo perchè permette a un eventuale ladro di accedere alle cartelle root del nostro smartphone digitando solo un comando su adb.
Una cosa che potrebbe fare scalpore se confermata è la volontarietà del colosso cinese di inserire questa back door (con un chiaro riferimento a Mr. Robot):
The best thing in this story is the password. It’s angela (see the reference?). This backdoor is here intentionally. When the fiction become a reality. Good luck @getpeid, you will need a very good explanation.
cc @whoismrrobot pic.twitter.com/IJgsu6hCEc— Elliot Alderson (@fs0c131y) November 14, 2017