Cosa c’è dietro la backdoor degli smartphone OnePlus

Uno sviluppatore ha scoperto un’app che può fungere da ponte tra un semplice comando e lo sblocco del bootloader così da ottenere i permessi di root. Una falla riconosciuta dalla compagnia

Molti utenti smanettoni, e probabilmente chi ha un OnePlus lo è, non vede l’ora di ottenere i permessi di root sul proprio terminale. Ciò permette di installare sistemi operativi non ufficiali, personalizzazioni maggiori ma anche incorrere in problemi di sicurezza non di poco conto, nel caso di virus e malware beccati con una certa noncuranza. C’è però una certa percentuale di clienti OnePlus che non sa nemmeno cosa sia il root e non si immagina nemmeno quello che potrebbe succedere se un hacker potesse entrare in un dispositivo con bootloader sbloccato e aperto a modifiche profonde del sistema. Il fatto è che la compagnia cinese avrebbe inserito, volutamente, nei suoi recenti smartphone una backdoor, un’app chiamata EngineerMode, di norma presente sui terminali diagnostici non destinati alla vendita, in grado di rootare con pochi passi il device.

Cosa succede

Ma invece di essere limitata ai modelli di test, anche gli OnePlus 3, 3T e 5 venduti online ospitano la simpatica applicazione, capace di sbloccare facilmente il cellulare. Con un semplice comando via adb, da effettuare con lo smartphone fisicamente connesso a un computer, il sistema operativo Oxygen, basato su Android, concede in automatico i permessi di root, un’apparente beneficio ma anche un rischio per la privacy. Dopo una serie di indagini, è stato scoperto che il codice di EngineerMode deriva da un software omonimo sviluppato da Qualcomm e destinato a ottenere informazioni veloci sul telefonino. Qualche sviluppatore indipendente però ha modificato l’app per concederle i super-poteri e consentire un root istantaneo.

La domanda è: come c’è finito questo programmino dentro milioni di OnePlus spediti in tutto il mondo? Per ora la ex-startup non ha risposto alla domanda, affermando solo di aver riconosciuto la falla e di essere pronta a rimuoverla con un prossimo aggiornamento di Oxygen. Inoltre, ha contribuito a lanciare un pesante sasso nel settore mobile, affermando come la stessa EngineerMode sia presente negli smartphone di tanti concorrenti, senza però dire quali.

Leggi anche:  Come conversare nel cloud: i controlli di sicurezza