Backdoor
Gisteren maakte ene Elliot Anderson via Twitter wereldkundig dat hij een backdoor had gevonden in de software op de OnePlus 3, OnePlus 3T en de OnePlus 5. Deze kwetsbaarheid had hij aangetroffen in de voorgeïnstalleerde app met de naam 'EngineerMode'. Via een omweg zouden kwaadwillenden deze app dan kunnen gebruiken om roottoegang op het toestel te verkrijgen, met alle gevolgen van dien. OnePlus maakt nu via een forumbericht bekend, deze roottoegang uit de systeemapp te verwijderen.
Via de omweg, de backdoor en een wachtwoord, kan iemand roottoegang verkrijgen over het toestel. Hij of zij kan dan malware op het toestel installeren en toegang krijgen tot persoonlijke gegevens, zonder dat de gebruiker dit doorheeft.
OnePlus: roottoegang is niet zo maar mogelijk
Volgens het forumbericht van OnePlus, begrijpt de fabrikant de ongerustheid van vele gebruikers, maar ze geven aan dat toegang tot root niet zomaar mogelijk is. Het bedrijf zit dit dan ook niet als een groot beveiligingsrisico. Een kwaadwillende zou namelijk fysiek toegang tot een toestel moeten hebben om een toestel te rooten. Voor roottoegang via ADB zou tevens usb-debugging aan moeten staan, maar dit is standaard uitgeschakeld.
De voorgeïnstalleerde app is een test-app van Qualcomm en is volgens OnePlus bestemd voor het uitvoeren van testen in de fabriek om te zien of het apparaat goed functioneert. De app kan de GPS-functie en rootstatus bekijken, en een aantal testen uitvoeren. Om de ongerustheid weg te nemen, heeft OnePlus besloten het verkrijgen van roottoegang via ADB uit de systeemapp te halen via een OTA-update.
Wanneer deze OTA-update wordt uitgerold, is niet bekend. We verwachten dat dit op korte termijn zal gebeuren.
