Estás a ler: Qualcomm e OnePlus respondem a um backdoor raiz, hacker encontra dados …
Depois que um desenvolvedor de chapéu cinza descobre uma vulnerabilidade raiz nos telefones OnePlus OxygenOS, o OnePlus e a Qualcomm estão respondendo.
O panorama geral é que um aplicativo de sistema do lado do OEM, EngineerMode, com o código base da Qualcomm foi deixado no software do usuário final do OnePlus 5, OnePlus 3T, OnePlus 3, OnePlus One e, supostamente, o próximo OnePlus 5T. Algumas programações do ADB permitiriam privilégios escalados no dispositivo. Além disso, o aplicativo, embora personalizável por OEMs, parece ser semelhante o suficiente para os vistos nos telefones ASUS e Xiaomi.
O OnePlus está contendo o dano dizendo que o método raiz não permite que aplicativos de terceiros aumentem seus privilégios atuais.
“Além disso, o adb root só é acessível se a depuração USB, que está desativada por padrão, estiver ativada”, escreveu um membro da equipe OnePlus no fórum de fãs da empresa, “e qualquer tipo de acesso root ainda exigiria acesso físico ao seu dispositivo. “
Embora a empresa não veja o acesso a este aplicativo de engenharia como um problema de segurança, ela bloqueará o acesso ao ADB em uma próxima atualização de software.
No final, o hacker afirma que é o aplicativo da Qualcomm, em primeiro lugar, que fornece esse buraco. Mas Alex Gantman, da equipe de defesa de segurança da Qualcomm, afirma que, embora o aplicativo tenha algum código fonte espalhado, o OnePlus o personalizou ao ponto em que o fabricante de chips não tem nada a ver com isso.
Com base em nossa investigação, este aplicativo EngineerMode não foi criado por @Qualcomm. Pode haver bits do código fonte do CQ lá, e acreditamos que outros criados com base em um aplicativo de teste anterior usado para exibir informações do dispositivo. Este aplicativo EngineerMode não se parece mais com o código original que fornecemos.
– Alex Gantman (@againsthimself) 15 de novembro de 2017
Além disso, o hacker original – sob o nome “Mr. O psedônimo de Elliot Alderson, com tema de robô ”- surgiu desde então um segundo aplicativo de diagnóstico inteiramente desenvolvido pela OnePlus, que permite aos usuários recuperar registros das atividades de Bluetooth, Wi-Fi, NFC, GPS e outras antenas.
Olá @Oneplus 👋! Lembre de mim? Vamos falar sobre outro aplicativo de depuração que você deixou no seu dispositivo.
O OnePlusLogKit é um aplicativo de sistema que permite fazer várias coisas: obter registros de wifi, registros nfc, registros gps pic.twitter.com/HvnErm8rXg– Elliot Alderson (@ fs0c131y) 15 de novembro de 2017
A gravação ativa pode ser ativada através de um simples comando de código de discagem.
Quão fácil é desencadear isso?
1. Toque em * # 800 # no discador
2. Clique em “Obter log sem fio”
3. Feito! Você está no aplicativo OnePlusLogKit.Você também pode enviar a intenção: shell adb am start -n com.oem.oemlogkit / .OneClickLogKitMainActivity
– Elliot Alderson (@ fs0c131y) 15 de novembro de 2017
Todo e qualquer dado, incluindo fotos e vídeos, pode ser descartado no armazenamento externo (pelo menos não um cartão microSD no OnePlus 5) e transportado.
O OnePlus ainda não respondeu a esta vulnerabilidade.
PCtg.net é o lugar perfeito para encontrar as últimas notícias e análises sobre gadgets e aplicativos de tecnologia, bem como dicas e truques sobre como tirar o máximo proveito de sua tecnologia.