OnePlus si dimentica una backdoor nei suoi smartphone

Chi la sfrutta ottiene i privilegi di root senza nemmeno dover sbloccare il bootloader.



[ZEUS News - www.zeusnews.it - 15-11-2017]

oneplus5

Non è un buon periodo per gli utenti degli smartphone di OnePlus.

Circa un mese fa, l'azienda era stata beccata a raccogliere informazioni personali sugli utenti. Ora, si scopre che s'è dimenticata una backdoor in quasi tutti i propri prodotti.

La spiacevole novità è stata rivelata dall'utente di Twitter Elliot Anderson (nome ripreso dalla popolare serie Mr. Robot): sui dispositivi OnePlus che usano OxygenOS c'è una backdoor che permette di ottenere i privilegi di root.

Consigliamo la lettura di:
Windows 11 è praticamente uno spyware
OnePlus scoperta a barare nei benchmark
OnePlus 3, ottimo smartphone a prezzo contenuto
OnePlus X, le specifiche complete (e un prezzo accattivante)

Il guaio nasce dal fatto che, a quanto pare, OnePlus ha scordato di rimuovere l'applicazione EngineerMode: si tratta di un'app realizzata da Qualcomm per i produttori di hardware, allo scopo di facilitare i test per i componenti.

Il sistema operativo non la mostra nell'elenco delle app disponibili a meno che non sia attiva l'opzione che permette di visualizzare tutte le app di sistema, ma la sua presenza è certa nei modelli OnePlus 2, OnePlus 3, OnePlus 3T e OnePlus 5.

Fortunatamente, sfruttare EngineerMode per ottenere i privilegi di root richiede accesso fisico al dispositivo: di conseguenza, il suo uso da parte di malintenzionati è limitato.

Tuttavia, ciò non riduce l'imbarazzo di OnePlus, anche perché la password specifica che permette di diventare root senza nemmeno dover sbloccare il bootloader è anch'essa diventata pubblica (dopo una decompilazione dell'Apk di EngineerMode da parte di Elliot Anderson), ed è molto semplice: Angela.

Sondaggio
Se fossi costretto a scegliere: un mese senza sesso o un mese senza smartphone, cosa sceglieresti?
Il problema non si pone: non faccio sesso.
Il problema non si pone: non ho uno smartphone.
Rinuncerei pių volentieri al sesso piuttosto che separarmi dallo smartphone.
Rinuncerei pių volentieri allo smartphone piuttosto che fare a meno del sesso.

Mostra i risultati (3830 voti)
Leggi i commenti (35)

Lasciare il proprio smartphone OnePlus per qualche tempo (non ne serve molto) nelle mani sbagliate significa esporsi al rischio che qualcuno possa, per esempio, installarvi uno spyware praticamente invisibile.

OnePlus ha fatto sapere che sta indagando sulla questione e che rilascerà presto un aggiornamento over-the-air per eliminare l'app.

Nell'attesa, gli utenti che sanno utilizzare ADB (Android Debug Bridge) possono disabilitare l'accesso ai permessi di root digitando da shell i seguenti comandi:

"setprop persist.sys.adb.engineermode 0"

e

"setprop persist.sys.adbroot 0"

Oppure si può provare a digitare, tramite la tastiera telefonica, il codice

*#8011#
engineer mode

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (3)


Gladiator
Personalmente ritengo assai pių inaccettabile la raccolta dati ad insaputa degli utenti rispetto a questo errore che mi sembra tutto sommato veniale. In fondo č necessario avere accesso fisico al dispositivo non bloccato e, fino ad oggi, sarebbe stato necessario anche saper di questa backdoor, informazione che non credo fosse... Leggi tutto
18-11-2017 14:47
colemar
Adesso non seguo pių queste cose ma fino a un paio di anni fa praticamente qualsiasi smartphone era rootabile senza sbloccare il bootloader. Basta ricordare ad esempio la app KingRoot. Quindi che c'č di tanto speciale?
16-11-2017 15:19
{corral}
OnePus, l'indagatore dell'incubo...
15-11-2017 13:04
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Che cosa hai fatto almeno una volta nella vita in una cabina telefonica?
Mi sono spogliato e cambiato.
Ho fatto pipė.
Ho fatto l'amore (con un uomo, una donna o da solo).
Mi sono limitato a ripararmi per la pioggia.
Ho telefonato, ma usando il cellulare.
Ho fatto degli scherzi telefonici rimanendo anonimo.
Da teppista l'ho danneggiata.
Ho telefonato senza pagare.
Ho fatto delle banali telefonate, niente di pių.

Mostra i risultati (4550 voti)
Marzo 2023
n. 3691 del 22-03-2023
Hyundai: i touchscreen nelle auto sono pericolosi
n. 3690 del 21-03-2023
Windows 11, ancora SSD lenti dopo l'ultimo aggiornamento
n. 3689 del 17-03-2023
La IA entra in Gmail e nei Documenti di Google
n. 3688 del 15-03-2023
Samsung beccata a barare sulle foto della Luna
n. 3687 del 12-03-2023
Perché c'è una fotocamera negli scanner dei supermercati?
n. 3686 del 09-03-2023
Il primo datacenter lunare sta per aprire i battenti
n. 3685 del 07-03-2023
Amazon chiude 8 negozi “senza commessi”
n. 3684 del 02-03-2023
Meta inietterà la IA in WhatsApp, Facebook Messenger e Instagram
Febbraio 2023
n. 3683 del 28-02-2023
Intelligenza artificiale: il programmatore pericoloso
n. 3682 del 23-02-2023
SPID a rischio, due mesi per deciderne il futuro
n. 3681 del 20-02-2023
L'UE vara il Portafoglio per l'Identità Digitale
n. 3680 del 16-02-2023
Sfida su TikTok costringe ad aggiornare 8 milioni di auto
n. 3679 del 11-02-2023
Windows 11 è praticamente uno spyware
n. 3678 del 07-02-2023
La verità sul “massiccio attacco hacker” di cui tutti parlano
n. 3677 del 04-02-2023
L'Internet Archive adesso ospita anche le calcolatrici scientifiche
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 25 marzo
2022
Studio Display, lo schermo da 27 pollici compagno ideale per il Mac Studio
2021
Fidarsi di webcam e microfono sempre accesi
2020
Il lettore di e-book che è anche un blocco note digitale
2019
Tecnico IT licenziato si vendica cancellando 23 server
2018
Apple prepara l'iPhone pieghevole per il 2020
2017
Wikileaks rivela il ''cacciavite sonico'' della CIA per colpire ...
2016
Il phishing di Equitalia
2015
Attenzione a Whatsappchiamate
2014
Occhio ai siti che usano Google per rubare password
2013
La stampa 3D rivoluzionerà i giocattoli per adulti
2012
Software aggiornabile e desktop remoto
2011
L'India pronta a bloccare i domini .XXX
2010
Ballot screen, ecco gli altri browser
2009
Lunga vita a Windows XP
2008
Una nuova rete a fibre ottiche in Piemonte
2006
VoIP al debutto: è tutto oro? (parte seconda)
2005
Yahoo e Creative Commons, il motore cerca-libertà
2004
Il sito dell'Unione Europea
2003
Confessarsi via e-mail (2)
Olimpo Informatico


 
web metrics