Backdoor op OnePlus-toestellen
OnePlus kan helaas nog niet spreken van een vlekkeloos verleden. Nog enkele maanden geleden kregen OnePlus 5-gebruikers een pushmelding met 'enquête' in advertentievorm. In reactie hierop beloofde de Chinese smartphonemaker meer transparantie en gaf gebruikers de mogelijkheid om deze pushberichten uit te schakelen binnen OxygenOS.
Nu heeft een persoon op Twitter, die Elliot Anderson (Mr. Robot) als naam heeft, een tweet gepost met daarin alarmerende informatie over een systeemapp op de OnePlus 3, OnePlus 3T en de OnePlus 5. Het gaat om de voorgeïnstalleerde app met de naam 'EngineerMode'. Op de redactie is de app op zowel de OnePlus 3T als twee OnePlus 5-toestellen te vinden.
Test-app gebruiken als backdoor
Deze app (gemaakt door Qualcomm) is bestemd voor het uitvoeren van testen in de fabriek om te zien of het apparaat goed functioneert. De app kan de GPS-functie en rootstatus bekijken, en een aantal testen uitvoeren.
Helaas kan via een omweg deze app ook ingezet worden om roottoegang op het toestel te verkrijgen. Roottoegang betekent dat je alle macht hebt over je Androidsmartphone, want je verkrijgt toegang tot alle rechten. Op deze manier kan er dus malware op het toestel geïnstalleerd worden en toegang gekregen worden tot persoonlijke gegevens, zonder dat de gebruiker dit doorheeft.
Het klinkt misschien voor sommigen ook interessant om op deze manier juist root te verkrijgen zonder het toestel te unlocken, kwaadwillenden kunnen hier dus ook misbruik van maken.
Gelukkig is de kans klein dat dit gebeurt, want er zal eerst een aantal commando's via ADB uitgevoerd moeten worden. In combinatie met andere kwetsbaarheden, zoals deze aanval die gebruik maakt van toast-berichten in oudere Android-versies, zou het overigens wel mogelijk zijn.
Reactie OnePlus
CEO Carl Pei heeft inmiddels gereageerd met de opmerking dat ze er nu druk mee bezig zijn. Totdat OnePlus met een oplossing komt, is het verstandig om uit te kijken met apps die niet betrouwbaar overkomen, maar dat is natuurlijk altijd verstandig.
Via: XDA
