Zabezpečení u telefonů OnePlus se dá překvapivě snadno obejít
Naši zahraniční kolegové ze serveru phoneArena přišli s velmi zajímavou informací. Je ohroženo zabezpečení telefonů OnePlus. Důvodem jsou „zadní vrátka“ objevená jedním vývojářem, která umožňují potencionálnímu útočníkovi získat kontrolu nad zařízením díky root oprávnění.
Potenciálně velmi nebezpečnou chybu objevil známý vývojář Elliot Alderson, který našel pomyslná zadní vrátka umožňující třetí straně přístup k oprávěním root na telefonech společnosti OnePlus, a to díky systémové aplikaci „inženýrský mód“. Jak se zdá, vývojáři z OnePlus převzali aplikaci, kterou vytvořil Qualcomm zejména k hardwarovému testování, upravili k obrazu svému a umístili ji na celou řadu svých zařízení.
A teď k problému. Aplikace poskytuje přímý přístup k řadě bezpečnostních funkcí včetně možnosti nadřazeného příkazu „všechno vymazat“, což vede k vymazání veškerých dat v telefonu, interní paměti, zkrátka všeho. Postiženy nejsou jen telefony s odemknutým bootloaderem (toto provádějí většinou zkušenější uživatelé z důvodů získání root oprávnění, aby nad svým telefonem získali neomezenou kontrolu), ale i ty s uzamčeným bootloaderem přímo z výroby, což ještě umocňuje obavy o bezpečnost.
A aby toho nebylo málo. Výše zmíněný vývojář navíc vytvořil jednoduchou rootovací aplikaci pro telefony OnePlus, která využívá této chyby, a umístil ji na Google Play. Tato aplikace je sama o sobě neškodná a mimo možnosti získat oprávnění root nic dalšího nenabízí. Alarmující je však skutečnost, že OnePlus úmyslně začlenil „inženýrský mód“ do svých zařízení. Pokud by někdo další tuto mezeru objevil, teoreticky by mohl vytvořit škodlivou aplikaci a převzít úplnou kontrolu nad zařízením.
Vývojář dále zdůrazňuje, že tento mód by mohl být mezi systémovými aplikacemi i na dalších zařízeních od jiných výrobců, které pohání procesor Snapdragon od Qualcommu. Pokud se chcete ujistit, přejděte do na svém telefonu do „Nastavení > Aplikace > Zobrazit systémové aplikace“ a hledejte „inženýrský mód“ (nebo EngineerMode v angličtině).
Na tuto informaci na Twitteru zareagoval i spoluzakladatel společnosti OnePlus, Carl Pei, který slíbíl, že se na problém podívají. Zabezpečení je v dnešní době jednou z nejdůležitějších priorit a toto není pro OnePlus opravdu dobrá vizitka, navíc jen krátce před oficiálním odhalení svého nového smartphonu OnePlus 5T. Uživatelé mohou zůstat klidní. Museli by totiž telefon někomu půjčit, aby s ním mohl manipulovat. Doufejme, že softwarová záplata pro postižená zařízení bude brzy na cestě.
zdroj: phoneArena
