OnePlus: אחורי מאפשר הסמארטפונים Rooter ב קריצה


יישום מבחן חתמה קוואלקום מספק גישה הרשאות מנהל. פגם כי האקרים יכולים להשתמש בקלות לפרוץ טלפונים חכמים אלו.

חודש לאחר שמכולם עבור איסוף נתונים אישי מוגזם, OnePlus הוא שוב במרכז תגלית מאוד לא נעימה. אבטחה חוקרת "אליוט אנדרסון" (כינוי המתייחס סדרת מר רובוט) זוהתה על הטלפון החכם הסיני קוואלקום חתם על תכנית שיכול לשמש כדלת אחורית. תחת הכותרת "EngineerMode" זוהי ללא ספק תוכנה עבור צוותי פיתוח OnePlus משום שהוא מאפשר הרבה בדיקות אוטומטיות על המסוף.

למרבה הצער, decompiled לאחר וניתח את הבקשה, החוקר מצא כי זה מותר יש מספיק הרשאות root על המכשיר. כל שעליך לעשות הוא להפעיל מצב שנקרא "DiagEnabled". הוא מוגן על ידי סיסמא, אך חוקרים אחרים מצאו מהר יחסית. במקרה זה, הוא "אנג'לה". זה לא מאוד מסובך.

אז כן, אם אתה שולח את הפקודה: בבוקר פגז ADB להתחיל -n https://t.co/yYfeX14Ioj.engineeringmode/.qualcomm.DiagEnabled --es "קוד" "סיסמא" עם הקוד הנכון אתה יכול להיות שורש!

- אליוט אלדרסון (@ fs0c131y) 13 בנובמבר, 2017

הדבר הטוב ביותר בסיפור הזה הוא הסיסמה. זה אנג'לה (ראה התייחסות?). אחורי זהו כאן בכוונה. כאשר הבדיוני הופך למציאות. @getpeid מזל טוב, יצטרך הסבר טוב מאוד.
סמ"ק @whoismrrobot pic.twitter.com/IJgsu6hCEc

- אליוט אלדרסון (@ fs0c131y) 14 בנובמבר, 2017

חוקר אבטחה כבר תכנן ליצור יישום היה Rooter חכם אוטומטי. החדשות הטובות הן כי אחורי זה דורש גישה פיזית לטלפון, אשר מפחית את ההשפעה במונחים של ביטחון. לדברי HackerNews היישום EngineerMode יהיה נוכח ברוב הסמארטפונים OnePlus, כולל מודלים 2, 3, 3T ו 5. כדי לבדוק אם זה המקרה במכשיר, פשוט ללכת "בתפריט היישום "ולהציג יישומים במערכת. זה צריך להיות ברשימה.

משטרת אנדרואיד-

כשנשאל על ידי חוקר האבטחה, אחד ממייסדי OnePlus הבטיח לבדוק את הבעיה ללא מידע נוסף.

תודה עבור הראשים, אנו בודקים את הנושא.

- קרל פיי (@getpeid) 13 בנובמבר, 2017

בינתיים, להימנע התקנת האפליקציה הראשונה הגיעה. במשך יותר הרפתקן, אפשר גם להסיר את היישום באמצעות היישום של Android Debug Bridge. רק להפעיל את הפקודות "setprop persist.sys.adb.engineermode 0" ו- "setprop persist.sys.adbroot 0". לא מן הנמנע כי מותגים אחרים מושפעים מבעיה זו, מאחר שיצרנים רבים מסתמכים על Qualcomm.