USD 65.99 ЕВРО 74.9

Бэкдор в OnePlus позволяет хакерам завладеть телефоном

Экономика

Программное обеспечение под названием EngineerMode позволяет хакерам делать все, что они захотят с телефоном, если у них есть физический доступ к нему.

Хакеры, которые получат доступ к некоторым телефонам OnePlus, могут получить практически неограниченный доступ к файлам и программному обеспечению с помощью инструмента тестирования EngineerMode, который компания явно оставила на устройствах.

Независимый исследователь Роберт Баптист, известный в Twitter как Эллиот Олдерсон (по имени персонажа телешоу «Mr. Robot»), нашел инструмент на телефоне OnePlus, и опубликовал эту информацию в понедельник. Исследователи из компании безопасности SecureNow помогли выяснить пароль инструмента. Это означает, что хакеры могут получать неограниченные привилегии на телефоне, если у них есть физический доступ к устройству.
Программное обеспечение EngineererMode функционирует как бэкдор, предоставляя доступ неавторизованному пользователю. Баптист сказал, что для повышения привилегий до полного «root» доступа требуется несколько строк кода.
«Это довольно серъёзно», сказал Батист в Twitter.
Компания OnePlus не согласилась, хотя и решила изменить EngineerTool.
«EngineerMode — это диагностический инструмент, который используется для тестирования функциональности при производстве на заводе и для послепродажной поддержки», говорится в заявлении компании. Root-доступ «доступен только в том случае, если включена отладка по USB, которая отключена по умолчанию. Кроме того, root-доступ требует физического доступа к устройству. Хотя мы не рассматриваем это как серьезную проблему безопасности, мы понимаем что пользователи могут беспокоиться, и поэтому мы удалим функцию adb [Android Debug Bridge command-line tool] из EngineerMode в предстоящем OTA».
SecureNow обнаружили инструмент на OnePlus 3 и OnePlus 5. Android Police сообщили, что он также есть на OnePlus 3T. Баптист сказал, что он есть и на новом OnePlus 5T.
Баптист обнаружил доказательства того, что EngineerMode был написан мобильным чипмейкером Qualcomm. Но Qualcomm заявила в среду, что это не так.
«После углубленного расследования мы определили, что приложение EngineerMode, о котором идет речь, не было создано Qualcomm», говорится в заявлении компании. «Хотя остатки некоторого исходного кода Qualcomm очевидны, мы полагаем, что другие части были созданы на основе тестового приложения Qualcomm, которое ограничивалось отображением информации об устройстве. EngineerMode не похож на исходный код, который мы предоставили».