OnePlus heeft via een forumbericht van een medewerker laten weten dat het de mogelijkheid van het verkrijgen van roottoegang via adb gaat verwijderen uit de software van zijn telefoons via een over-the-air-update.

 

 

In het forumbericht stelt de medewerker dat OnePlus de mogelijkheid van het verkrijgen van roottoegang via adb niet beschouwd als een groot beveiligingsprobleem, maar hij geeft aan dat de fabrikant begrijpt dat gebruikers nog altijd zorgen hebben, en dat ze daarom de optie van roottoegang via adb uit de EngineerMode gaan halen. De medewerker zei niet wanneer dit precies gaat gebeuren.

De medewerker bevestigt dat EngineerMode roottoegang via adb mogelijk maakt, maar hij stelt dat dit het niet mogelijk maakt voor andere apps om roottoegang en de bijbehorende privileges te krijgen. Daarnaast wijst hij erop dat roottoegang via adb alleen toegankelijk is als USB debugging, dat standaard uitgeschakeld staat, wordt aangezet. Ook zegt de medewerker dat elke vorm van roottoegang pas mogelijk is als iemand fysieke toegang heeft tot de desbetreffende OnePlus-smartphone.

Maandag claimde een hacker een backdoor te hebben gevonden in de software van OnePlus-telefoons. Dankzij die backdoor en een wachtwoord is het mogelijk om roottoegang te krijgen. De backdoor zit in een testapplicatie EngineerMode, die de fabrikant gebruikt om functies van toestellen te testen. Die app zit in builds van de firmware van onder meer de OnePlus 5, OnePlus 3T en 3, de drie meest recente toestellen van de Chinese fabrikant, zo meldde de hacker met de aliassen Elliot Alderson en fs0c131y.

Om roottoegang te verkrijgen tot de toestellen, is het voldoende om een script uit te voeren en het wachtwoord te hebben. De hacker deed dat in zijn demonstratie via adb. Het wachtwoord is 'angela'. EngineerMode is een door OnePlus aangepaste app die oorspronkelijk van Qualcomm komt. Het simpel verkrijgen van roottoegang maakt het voor malware mogelijk om de reguliere beveiliging van Android te omzeilen. Het is onbekend of kwaadwillenden al gebruik hebben gemaakt van deze truc. OnePlus-directeur Carl Pei zei eerder dat OnePlus  het mogelijke beveiligingslek bekijkt.

 

Reacties mogelijk gemaakt door CComment