one plusEen hacker claimt een backdoor te hebben gevonden in de software van OnePlus-telefoons. Dankzij die backdoor en een wachtwoord is het mogelijk om roottoegang te krijgen. OnePlus zegt de zaak in onderzoek te hebben.

De backdoor zit in een testapplicatie EngineerMode, die de fabrikant gebruikt om functies van toestellen te testen. Die app zit in builds van de firmware van onder meer de OnePlus 5, OnePlus 3T en 3, de drie meest recente toestellen van de Chinese fabrikant, meldt de hacker met de aliassen Elliot Alderson en fs0c131y.

Om roottoegang te verkrijgen tot de toestellen, is het voldoende om een script uit te voeren en het wachtwoord te hebben. De hacker deed dat in zijn demonstratie via adb. Het wachtwoord is 'angela'. EngineerMode is een door OnePlus aangepaste app die oorspronkelijk van Qualcomm komt.

Het simpel verkrijgen van roottoegang maakt het voor malware mogelijk om de reguliere beveiliging van Android te omzeilen. Het is onbekend of kwaadwillenden al gebruik hebben gemaakt van deze truc. OnePlus-directeur Carl Pei zegt dat OnePlus kijkt naar het mogelijke beveiligingslek.

Veel hackers melden lekken bij bedrijven en wachten met publicatie tot de fabrikant een patch heeft doorgevoerd, maar fs0c131y heeft dat niet gedaan en zijn bevindingen online gezet. Bovendien is hij van plan een proof of concept uit te brengen, waarmee gebruikers root kunnen krijgen op hun toestel.

Het is onbekend of alleen toestellen van OnePlus vatbaar zijn, of dat het ook gaat om telefoons van het veel grotere zusterbedrijf Oppo. Gebruikers hebben in het verleden op telefoons van Oppo ook een aangepaste versie van Qualcomms EngineerMode aangetroffen.

OnePlus EngineerModeOnePlus EngineerModeOnePlus EngineerMode