Author: IlSoftware.it
Un ricercatore autonomo scopre la presenza dell’app Qualcomm EngineerMode nel firmware ufficiale preinstallato sugli smartphone OnePlus. L’applicazione, un’utilità di diagnostica molto versatile, permette di effettuare il rooting del dispositivo in maniera molto semplice. Avvistata anche sui telefoni di altri produttori.
La qualità degli smartphone OnePlus non è oggetto di discussione ma una nuova tegola si è appena abbattuta sull’azienda cinese. Dopo l’affaire legato alla raccolta dei dati sui dispositivi degli utenti (OnePlus raccoglierebbe dati personali degli utenti senza renderli anonimi), un ricercatore ha scoperto la presenza di un file APK, all’interno del firmware ufficiale degli smartphone, che permette – con pochi comandi – di effettuare il root del dispositivo.
L’applicazione, chiamata EngineerMode, sembra sia riconducibile a Qualcomm e può essere attivata componendo il numero speciale *#808# su smartphone OnePlus.
Anche la password per lo sblocco dei privilegi di root è stata svelata (è semplicemente “angela”) e abilitando la voce escalatedUp dalla schermata DiagEnabled dell’app EngineerMode la procedura viene conclusa con successo.
Awesome! Thanks to @insitusec and the @NowSecureMobile team, we have the password! It’s now possible to root an @Oneplus device with a simple intent pic.twitter.com/gN0awYijBv
— Elliot Alderson (@fs0c131y) 13 novembre 2017
A questo punto, almeno in linea teorica, un’app malevola potrebbe effettuare il rooting del dispositivo OnePlus anche senza l’autorizzazione dell’utente ed eventualmente eseguire operazioni pericolose per l’integrità e la riservatezza dei dati. L’autore della scoperta precisa che è ancora troppo presto per trarre conclusioni ma afferma di essere sulla buona strada.
L’app EngineerMode sarebbe stata avvistata anche in diversi smartphone Asus e Xiaomi: è probabile che nei prossimi giorni emergano nuovi dettagli.
Il CEO di OnePlus, Carl Pel, ha dichiarato che i tecnici dell’azienda stanno verificando le segnalazioni ma che, diversamente da quanto ipotizzato da alcuni ricercatori, l’utilità diagnostica EngineerMode non può essere sfruttata da parte di applicazioni di terze parti per forzare il rooting.
OnePlus ha chiarito che EngineerMode è stata inserita solo per verificare il perfetto funzionamento dei prodotti messi in commercio e per fornire supporto: sarà rimossa nei prossimi aggiornamenti OTA che saranno distribuiti agli utenti.