OnePlus: κερκόπορτα επιτρέπει smartphones rooter σε ένα κλείσιμο του ματιού


Μια υπογεγραμμένη αίτηση εξέτασης Qualcomm παρέχει πρόσβαση σε δικαιώματα διαχειριστή. Ένα ελάττωμα που οι χάκερ θα μπορούσε εύκολα να χρησιμοποιήσετε για να χαράξει αυτά τα smartphones.

Ένα μήνα μετά την ξεχώρισε για την υπερβολική συλλογή προσωπικών δεδομένων, OnePlus είναι και πάλι το κέντρο μιας πολύ δυσάρεστη ανακάλυψη. Ασφάλεια ερευνητής «Elliot Anderson» (ένα ψευδώνυμο που αναφέρεται στη σειρά κ Robot) ανιχνεύθηκαν στην κινεζική smartphone Qualcomm υπέγραψαν ένα πρόγραμμα που μπορεί να χρησιμοποιηθεί ως μια πίσω πόρτα. Ονομάζεται «EngineerMode» Αυτό είναι προφανώς ένα λογισμικό για την ανάπτυξη OnePlus ομάδες, διότι επιτρέπει πολλές αυτοματοποιημένες δοκιμές στο τερματικό.

Δυστυχώς, μετά από decompiled και ανέλυσε την εφαρμογή, ο ερευνητής διαπίστωσε ότι επιτρέπεται να έχει αρκετά ακριβώς δικαιώματα root στη συσκευή. Απλά ενεργοποιήσετε μια λειτουργία που ονομάζεται «DiagEnabled». Προστατεύεται από έναν κωδικό πρόσβασης, αλλά και άλλοι ερευνητές έχουν βρει σχετικά γρήγορα. Σε αυτή την περίπτωση, είναι «Angela». Αυτό δεν είναι πολύ περίπλοκο.

Ναι λοιπόν, αν στείλετε την εντολή: adb shell π.μ. ξεκινήσει -n https://t.co/yYfeX14Ioj.engineeringmode/.qualcomm.DiagEnabled --es "κωδικός" "κωδικό πρόσβασης" με το σωστό κωδικό, μπορείτε να γίνετε root!

- Elliot Alderson (@ fs0c131y) 13 Νοέμ 2017

Το καλύτερο πράγμα σε αυτή την ιστορία είναι ο κωδικός πρόσβασης. Είναι Angela (δείτε την αναφορά;). Αυτή η κερκόπορτα είναι εδώ σκόπιμα. Όταν η φαντασία γίνεται πραγματικότητα. Καλή τύχη @getpeid, θα χρειαστεί μια πολύ καλή εξήγηση.
cc @whoismrrobot pic.twitter.com/IJgsu6hCEc

- Elliot Alderson (@ fs0c131y) 14 Νοεμβρίου, 2017

ερευνητής ασφαλείας έχει ήδη προγραμματιστεί να δημιουργήσει μια εφαρμογή που θα Rooter αυτόματα smartphone. Τα καλά νέα είναι ότι αυτή η κερκόπορτα απαιτεί φυσική πρόσβαση στο τηλέφωνο, το οποίο μειώνει τις επιπτώσεις από την άποψη της ασφάλειας. Σύμφωνα HackerNews την εφαρμογή EngineerMode θα είναι παρόντες στα περισσότερα OnePlus smartphones, συμπεριλαμβανομένων των μοντέλων 2, 3, 3T και 5. Για να ελέγξετε αν αυτό συμβαίνει στη συσκευή σας, απλά πηγαίνετε στο «Μενού εφαρμογών «και τις εφαρμογές του συστήματος απεικόνισης. Θα πρέπει να είναι στη λίστα.

Η αστυνομία Android-

Ερωτηθείς από τον ερευνητή ασφάλειας, ένας από τους ιδρυτές της OnePlus υποσχέθηκε ότι θα εξετάσει το πρόβλημα χωρίς περισσότερες πληροφορίες.

Ευχαριστώ για τα κεφάλια επάνω, ψάχνουμε σε αυτό.

- Καρλ Πέι (@getpeid) 13 Νοεμβρίου, 2017

Εν τω μεταξύ, αποφύγετε την εγκατάσταση η πρώτη εφαρμογή ήρθε. Για τους πιο τολμηρούς, είναι επίσης δυνατό να καταργήσετε την εγκατάσταση της εφαρμογής, μέσω της εφαρμογής Android Debug Bridge. Απλά εκτελέστε τις εντολές "setprop persist.sys.adb.engineermode 0" και "setprop persist.sys.adbroot 0". Δεν αποκλείεται ότι οι άλλες μάρκες που επηρεάζονται από αυτό το πρόβλημα, δεδομένου ότι πολλοί κατασκευαστές βασίζονται στην Qualcomm.