Dopo il problema legato alla raccolta di dati personali, chiarito e corretto in breve tempo, OnePlus è di nuovo al centro dell’attenzione a causa di una backdoor presente su OnePlus 3, OnePlus 3T e OnePlus 5. Uno sviluppatore ha trovato in OxygenOS l’applicazione EngineerMode, solitamente utilizzata in fase di sviluppo per effettuare le diagnosi sul corretto funzionamento del dispositivo.

Fin qui non ci sarebbe niente di particolarmente interessante, se non fosse che, lanciando l’attività DiagEnabled con una password specifica è possibile ottenere i permessi di root senza dover sbloccare il bootloader. La password necessaria è stata estratta in maniera abbastanza semplice da una libreria di sistema, con l’aiuto di alcuni esperti di sicurezza.

Lo sviluppatore, che si fa chiamare Elliot Alderson, come il protagonista della serie cult Mr. Robot, ha promesso di rilasciare un’app in grado di sbloccare i permessi di root su OnePlus 3, OnePlus 3T e OnePlus 5 in maniera molto semplice, senza ovviamente dover sbloccare il bootloader.

Carl Pei, co-fondatore di OnePlus, ha risposto a un tweet che chiedeva un commento sulla situazione, affermando che i tecnici stanno verificando il problema. Con ogni probabilità l’applicazione incriminata verrà rimossa da OxygenOS con un prossimo aggiornamento. Nel frattempo le probabilità che l’exploit sia già stato utilizzato in maniera malevola sono davvero poche, visto che i comandi possono essere inviati solamente tramite ADB.

Staremo a vedere se e quando OnePlus rilascerà una patch per risolvere definitivamente questa vulnerabilità.

[Aggiornamento]

OnePlus ha confermato la presenza di EngineerMode, ricordando che si tratta di un tool diagnostico che permette di ottenere i permessi di root tramite comandi ADB. Il brand cinese ricorda che i comandi ADB sono accessibili solamente abilitando la funzione di USB debugging, disabilitata di default, quindi non ci sono problemi di sicurezza gravi come potrebbe sembrare. Serve infatti l’accesso fisico al device per poter abilitare i permessi di root, escludendo quindi attacchi malevoli da parte di applicazioni o software.

Per la tranquillità degli utenti, EngineerMode verrà comunque rimosso con uno dei prossimi aggiornamenti OTA. A questo indirizzo trovate il comunicato stampa completo di OnePlus.

[Aggiornamento 2]

Dal canto suo Qualcomm ha negato qualsiasi coinvolgimento nella vicenda, dopo aver analizzato il codice dell’applicazione incriminata. Nonostante ci siano alcune parti di codice derivate da una vecchia versione dell’EngineerMode del chipmaker californiano, la versione utilizzata da OnePlus è stata decisamente modificata.

Vai a: Recensione OnePlus 5: grande potenza, alto il prezzo