Pred pár týždňami sme uverejnil článok ktorý vysvetlil, ako zariadenia OnePlus zbierali osobné údaje používateľov a odosielali ich do svojich dátových centier. Zatiaľ čo verejné pobúrenie po zistení prinútilo OnePlus zvrátiť svoj smer v oblasti zhromažďovania údajov, incident poškodil obraz inak veľmi populárnej spoločnosti. Nezávislý vývojár dnes odhalil niekoľko ďalších zistení, ktoré kladú ďalší otáznik na stav zabezpečenia zariadenia OnePlus. Vývojár, ktorý sa volá „Elliot Alderson“ na Twitteri odhalil svoje zistenia v sérii tweetov.
Všeobecné drobnosti: Elliot Alderson je meno hlavnej postavy pána Robota, ktorý je cez deň softvérovým inžinierom a v noci bdelým hackerom.
Bezpečnostná chyba v podstate zanechala a zadné vrátka v každom zariadení OnePlus s operačným systémom Oxygen vrátane OnePlus 3, 3T a 5. Tento exploit môže niekto použiť na získanie prístupu root k vášmu zariadeniu. The vysvetlené tweety že OnePlus ponechal na mieste diagnostickú testovaciu aplikáciu, ktorú možno ľahko zneužiť na udelenie prístupu root a účinne pôsobiť ako zadné vrátka.
Aplikácia sa nazýva „EngineerMode“ ktorý sa používa v továrňach počas výrobného procesu na testovanie a potvrdenie, že zariadenie funguje správne. Táto aplikácia sa však nemá nachádzať v zariadeniach, ktoré sa predávajú verejnosti.
Ahoj @OnePlus! Nemyslím si, že tento EngineerMode APK musí byť v používateľskej zostave...🤦♂️
Táto aplikácia je systémová aplikácia vytvorená spoločnosťou @Qualcomm a prispôsobené podľa @OnePlus. Používa ho operátor v továrni na testovanie zariadení. pic.twitter.com/lCV5euYiO6— Baptiste Robert (@fs0c131y) 13. novembra 2017
Aj keď si možno myslíte, že je to dobrá správa pre komunitu rootov, v skutočnosti to tak nie je, pretože backdoor umožňuje rootovanie zariadenia bez odomknutia bootloadera na telefóne, čím sa to v podstate zmení na exploit s obrovským bezpečnostným rizikom. To znamená, že ktokoľvek môže vytvoriť aplikáciu, ktorá po inštalácii do zariadenia môže získať root prístup k vášmu zariadeniu a odoslať vaše súkromné a osobné informácie hackerovi.
Takže áno, ak pošlete príkaz: adb shell am start -n https://t.co/yYfeX14Ioj.engineeringmode/.qualcomm. DiagEnabled -es "kód" "heslo" so správnym kódom sa môžete stať rootom!
— Baptiste Robert (@fs0c131y) 13. novembra 2017
Šanca, že niekto už tento exploit použil na získanie root prístupov k zariadeniam OnePlus, je však veľmi minimálna, keďže exploit je momentálne otvorený, mali by ste sa zdržať sťahovania a inštalácie akýchkoľvek pochybných aplikácií kým OnePlus neopraví exploit. Dobrou správou je, že generálny riaditeľ OnePlus Carl Pei odpovedal na Twitteri a povedal, že tím OnePlus to skúma, a preto by sme mali očakávať, že oprava bude čoskoro vydaná.
https://twitter.com/getpeid/status/930197107255992321
Odporúčané články
