OnePlus: backdoor memungkinkan smartphone simpatisan di mengedipkan mata


Sebuah aplikasi tes Qualcomm menandatangani menyediakan akses ke hak administrator. Sebuah cacat yang hacker dapat dengan mudah digunakan untuk hack smartphone ini.

Sebulan setelah dipilih untuk pengumpulan data pribadi berlebihan, OnePlus sekali lagi pusat penemuan yang sangat menyenangkan. Peneliti keamanan "Elliot Anderson" (julukan yang mengacu pada seri Mr Robot) terdeteksi pada smartphone Cina Qualcomm menandatangani sebuah program yang dapat digunakan sebagai pintu belakang. Disebut "EngineerMode" Ini jelas sebuah perangkat lunak untuk tim pengembangan OnePlus karena memungkinkan untuk banyak tes otomatis pada terminal.

Sayangnya, setelah decompile dan dianalisis aplikasi, peneliti menemukan bahwa itu memungkinkan untuk memiliki hak akses root cukup pada perangkat. Cukup mengaktifkan modus disebut "DiagEnabled". Hal ini dilindungi oleh password, namun para peneliti lainnya telah menemukan relatif cepat. Dalam hal ini, itu adalah "angela". Hal ini tidak terlalu rumit.

Jadi ya, jika Anda mengirim perintah: adb shell am mulai -n https://t.co/yYfeX14Ioj.engineeringmode/.qualcomm.DiagEnabled --es "kode" "kata sandi" dengan kode yang benar Anda dapat Menjadi root!

- Elliot Alderson (@ fs0c131y) November 13, 2017

Hal terbaik dalam cerita ini adalah password. Ini angela (lihat referensi?). backdoor ini di sini sengaja. Ketika fiksi Menjadi kenyataan. Good luck @getpeid, Anda akan membutuhkan penjelasan yang sangat baik.
cc pic.twitter.com/IJgsu6hCEc @whoismrrobot

- Elliot Alderson (@ fs0c131y) 14 November, 2017

peneliti keamanan telah merencanakan untuk membuat aplikasi yang secara otomatis akan Simpatisan smartphone. Kabar baiknya adalah bahwa backdoor ini membutuhkan akses fisik ke ponsel, yang mengurangi dampak dalam hal keamanan. Menurut HackerNews aplikasi EngineerMode akan hadir di sebagian besar OnePlus smartphone, termasuk model 2, 3, 3T dan 5. Untuk memeriksa apakah hal ini terjadi pada perangkat Anda, cukup pergi ke "Menu Aplikasi "dan aplikasi sistem display. Itu harus di daftar.

Polisi Android-

Ditanyai oleh peneliti keamanan, salah satu pendiri dari OnePlus berjanji akan melihat ke dalam masalah tanpa informasi lebih lanjut.

Terima kasih atas kepala, kita melihat ke dalamnya.

- Carl Pei (@getpeid) November 13, 2017

Sementara itu, menghindari menginstal aplikasi pertama kali datang. Untuk lebih berani, juga memungkinkan untuk meng-uninstall aplikasi melalui aplikasi Android Debug Bridge. Hanya menjalankan perintah "setprop persist.sys.adb.engineermode 0" dan "setprop persist.sys.adbroot 0". Bukan tidak mungkin bahwa merek lain dipengaruhi oleh masalah ini, karena banyak produsen mengandalkan Qualcomm.