Un chercheur en sécurité, Robert Baptiste, a fait part de sa découverte dans les smartphones OnePlus : un composant permettant un accès root à toutes les données du téléphone.
Nommé Engineer Mode, ce composant (présent sous forme d’un fichier APK) n’est normalement utilisé qu’au terme des chaînes de montage dans les usines, pour vérifier que tout va bien. Il est protégé par un mot de passe, mais les chercheurs l’ont rapidement découvert, d’autant qu’il n’est guère compliqué : angela.
OnePlus, de son côté, indique que l’Engineer Mode nécessite dans tous les cas un accès physique et qu’il ne peut en aucune être exploité à distance. Surtout, il dispose bien d’un accès root, mais seulement pour lui-même : il n’autorise pas des applications tierces à en bénéficier.
Le constructeur ne voit en outre pas dans ce composant un problème de sécurité majeur, puisqu’il réclame notamment l’activation de l’USB Debugging, inactif par défaut. Une prochaine mise à jour supprimera quand même le fichier APK des smartphones. Aucune raison donc a priori de considérer cet Engineer Mode comme une porte dérobée.
Notez également que le composant ne provient pas de OnePlus, mais de Qualcomm. Motherboard fait ainsi remarquer que d’autres constructeurs s’en servent, notamment Lenovo et Motorola. Nos confrères ont contacté Qualcomm mais n’ont pas encore eu de réaction du fondeur.
Commentaires (6)
#1
Vu le compte twitter du chercheur, et le mot de passe, c’est sponsorisé par Mr. Robot ou bien ? " />
#2
Ça commence à faire beaucoup de bourdes la
#3
#4
#5
#6
Sauf que là ça ne te permet pas d’obtenir un accès root sur ton tel puisque l’app ne peut refiler les droits root à une autre app.