Nieuws

Achterpoortje maakt smartphones OnePlus eenvoudig te kraken

Een Franse onderzoeker ontdekte dat zowat elke OnePlus een backdoor bevat waardoor iemand met een minimum aan kennis deze volledig kan overnemen.

Bijna elke smartphone van OnePlus bevat een backdoor, zo ontdekte veiligheidsonderzoeker Robert Baptiste. Het gaat om een debugging-tool die de fabrikant gebruikt om het toestel te controleren tijdens het productieproces. Het bedrijf liet het echter na om de app nadien te verwijderen of uit te schakelen, waardoor je er misbruik van kan maken om een toestel te hacken. Baptiste publiceerde zijn ontdekking op Twitter onder het alias Elliot Alderson. OnePlus heeft  gereageerd op het nieuws en aangekondigd dat het de root-functie uit de tool zal halen.

Angela

Elk toestel van OnePlus, uitgezonderd het allereerste model, bevat het achterpoortje. De EngineerMode-app is een diagnostische tool waarmee smartphones in de fabriek getest worden. Het is van oorsprong ontwikkeld door Qualcomm, maar de versie op de OnePlus-toestellen is door de smartphonemaker verder geoptimaliseerd. Naast de mogelijkheid om bepaalde hardware-componenten te controleren, voorziet EngineerMode ook de optie om toegang te krijgen tot de root van een toestel. De functie is afgeschermd met een wachtwoord, maar dat is telkens hetzelfde, namelijk ‘angela’. Toegang krijgen tot de root betekent dat je in de praktijk het hele toestel kan overnemen.

“Dit is niet goed,” stelt Robert Baptiste. “In theorie moet dit soort app verwijderd worden van het finale toestel. Maar dat voegt een extra operatie toe in de fabriek, wat tijd kost en altijd gecompliceerd is. Daarom gebeurt het dat soms – vaak – bedrijven beslissen om deze app te behouden. ‘Security by obscurity’ is een veelvoorkomende praktijk.”

Relatief risico

EngineerMode is eenvoudig te vinden in OxygenOS, de eigen versie van Android die op de smartphones staat. Wie naar de instellingen gaat hoeft enkel op de knop Show System apps te klikken om het programma tevoorschijn te halen. Het maakt het achterpoortje ook gemakkelijk uit te schakelen: gebruikers kunnen de app eenvoudig verwijderen van hun toestel.

[related_article id=”219469″]

Er is geen direct gevaar dat hackers zich massaal op het achterpoortje zullen storten. Om de app te gebruiken moet iemand immers je toestel fysiek in handen hebben en het systeem ontsluiten. Bovendien stelt OnePlus dat EngineerMode geen volledige rootprivileges geeft aan apps van derden, waardoor de impact van een hack met behulp van een malafide app beperkt blijft.

“Alhoewel we dit niet als een groot veiligheidsprobleem zien, begrijpen we dat gebruikers zich zorgen maken,” verklaart OnePlus in een publiek statement. “Daarom zullen we de adb root functie uit EngineerMode verwijderen in een volgende over-the-air [update].”

Beveiligingmobieloneplus

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600