¡SORTEOS! Sorteamos LG G6, OnePlus 5T y pack de productos Aukey [ Ver sorteos ]

OnePlus hace una declaración oficial sobre el fallo de seguridad que permite acceso ‘root’

Hace apenas un mes, OnePlus fue pillado recolectando datos de identificación personal de los usuarios de sus teléfonos y la compañía hizo cambios a raíz de este descubrimiento para terminar con esas prácticas.

Hoy un desarrollador ha encontrado una aplicación destinada a pruebas en fábrica, y a través de algunas investigaciones e ingeniería inversa, ha conseguido obtener acceso “root” gracias a ella.

La aplicación en cuestión se llama’ EngineerMode’ y se utiliza en las fábricas para confirmar que el dispositivo funciona correctamente. Está instalada en el OnePlus 3, 3T y 5. Incluso se incluye en OxygenOS para el OnePlus One, pero no en el CyanogenOS ROM original.

El desarrollador descubrió que al lanzar la actividad’ DiagEnabled’ que se encuentra en el APK con una contraseña fácil de averiguar, consigues acceso “root”. Esto tiene serias repercusiones de seguridad. Podría ser aprovechado por una app maliciosa junto con otra vulnerabilidad para causar daño.

Ahora OnePlus ha publicado una declaración oficial sobre la aplicación EngineerMode:

Ayer, recibimos muchas preguntas acerca de un APK encontrado en varios dispositivos, incluyendo el nuestro, llamado EngineerMode, y nos gustaría explicar qué es. EngineerMode es una herramienta de diagnóstico utilizada principalmente para pruebas de funcionalidad de la línea de producción de fábrica y el soporte post-venta.

Hemos visto varias declaraciones de desarrolladores de la comunidad preocupados porque este APK otorga privilegios de root. Si bien puede habilitar adb root, que proporciona privilegios para  comandos adb, no permite que aplicaciones de terceros obtengan privilegios completos de root. Además, el root de adb sólo es accesible si se activa la depuración USB, que está desactivada por defecto, y cualquier tipo de acceso root requeriría acceso físico al dispositivo.

Aunque no vemos esto como un problema de seguridad importante, entendemos que los usuarios pueden tener preocupaciones y, por lo tanto, eliminaremos la función root de adb de EngineerMode en una próxima OTA.