OnePlus : une application pourrait servir de backdoor à des applications malveillantes

Depuis plusieurs jours, des possesseurs de smartphones OnePlus ont découvert, sur leurs appareils, un fichier baptisé EngineerMode. Celui-ci permettrait de lancer le smartphone en accès root sans même débloquer le bootloader.

>>> Retrouvez notre test du OnePlus 5 

Ce dimanche, un développeur Android du nom d’Elloit Alderson a publié une découverte pour le moins préoccupante sur Twitter. Il s’est en effet rendu compte que les smartphones de OnePlus, les OnePlus One, 3, 3T et 5, intègrent une application de Qualcomm baptisée EngineerMode. Si celle-ci permet théoriquement de tester la réinitialisation aux paramètres d’usine ou de lancer un diagnostic GPS, elle peut également être utilisée afin de lancer le smartphone avec les accès root si l’utilisateur parvient à découvrir le mode de place choisi par le fabricant.

De fait, il a réussi, avec l’aide de plusieurs experts en cybersécurité, à obtenir les droits de super-utilisateur sur son appareil sans même avoir à débloquer le bootloader. Si la fonctionnalité peut être pratique pour les utilisateurs souhaitant avoir un accès simplifié aux droits de leurs smartphones, notamment pour installer des applications sachant en tirer parti, il s’agit surtout d’un manque de sécurisation de la part de OnePlus, puisqu’il s’agit bel et bien d’une porte dérobée comme l’explique le site Android Police : « Bien qu’il soit peu probable pour n’importe quelle application d’obtenir les accès root avec cette méthode, puisque la commande ne peut être lancée que depuis ADB, elle pourrait être utilisée en conjonction avec une autre vulnérabilité pour causer des dommages à l’appareil ».

Sur ses forums, OnePlus a finalement réagi mardi soir au sujet de l’application EngineerMode de Qualcomm : « Bien qu’elle puisse activer le root ADB qui offre certains avantages, elle ne laissera pas des applications tierces accéder à l’ensemble des droits. De plus, le root ADB est disponible uniquement en mode USB debugging, désactivé par défaut, et n’importe quel accès root requiert dans tous les cas un accès physique à l’appareil ». Afin de rassurer ses utilisateurs, OnePlus va tout de même « supprimer la fonction ADB root d’EngineerMode dans une prochaine mise à jour »

>>> Date de sortie, caractéristiques, design : tout ce qu'on sait sur le OnePlus 5T

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
Commenter depuis le forum
    Votre commentaire