Backdoor negli smartphone OnePlus, fix in arrivo

Un ricercatore di sicurezza ha scoperto una grave vulnerabilità sui dispositivi OnePlus che potrebbe essere sfruttata per installare malware. L’app EngineerMode permette di effettuare un accesso root, senza sbloccare lo smartphone, usando un semplice comando ADB. Il produttore cinese ha spiegato lo scopo dell’applicazione, promettendo la distribuzione di un fix nei prossimi giorni.

EngineerMode, sviluppata da Qualcomm, è stata inserita da OnePlus nella sua versione personalizzata di Android, ovvero OxygenOS. L’app viene utilizzata per eseguire test diagnostici dei componenti hardware durante la produzione degli smartphone e dal servizio di assistente post-vendita. Una delle funzionalità è proprio quella che consente di abilitare l’accesso root. Il produttore cinese ha tuttavia sottolineato che questa sorta di “backdoor” non può essere sfruttata per assegnare privilegi di root alle app di terze parti.

Inoltre i rischi sono molto bassi, in quanto è necessario accedere fisicamente al dispositivo e attivare la modalità Debug USB nelle opzioni di sviluppo, se il malintenzionato conosce il PIN o la password dello smartphone eventualmente impostati dal proprietario. In ogni caso si tratta di un problema di sicurezza che OnePlus risolverà con un aggiornamento OTA. In particolare verrà rimossa la funzionalità di EngineerMode che permette di effettuare il rooting.

[nggcard id=692745]

Gli utenti che invece vogliono eliminare completamente l’app in questione possono digitare il seguente comando ADB:

adb shell pm uninstall -k --user 0 com.android.engineermode

Il ricercatore che ha scoperto la vulnerabilità afferma che l’app è presente anche sui prodotti di ASUS e Xiaomi.

Aggiornamento: Qualcomm ha dichiarato che l’app in questione era stata sviluppata solo per visualizzare le informazioni del dispositivo. Qualcuno (OnePlus, ndr) ha modificato il codice originario e aggiunto altre funzionalità.