OnePlus no es una compañía ajena a la polémica. Hace algo más de un mes el autodenominado fabricante de "flagship killers" tuvo que hacer frente a las acusaciones de minado de datos tras descubrirse que estaba recogiendo información identificable de sus usuarios de forma escasamente transparente, y ahora se ha dado a conocer que la firma ha dejado en sus teléfonos una aplicación de testeo de diagnósticos que puede proporcionar acceso root.
El propósito de la aplicación, que fue hallada hace tiempo pero cuya utilidad se desconocía hasta ahora, ha sido divulgado por un usuario de Twitter que se hace llamar Elliot Anderson (sí, ese Elliot). El software en cuestión recibe el nombre EngineerMode y forma parte de las herramientas facilitadas por Qualcomm a los fabricantes de dispositivos para testar sus componentes, por lo que todo apunta a que se trata de un simple accidente y no de algún tipo de estrategia con tintes oscuros.
Según ha podido descubrir Elliot, EngineerMode puede rootear un dispositivo con la ayuda de una contraseña. La clave no es otra que "angela" (aparentemente sí, esa Angela). Esta operación requiere el acceso a un shell ADB, lo que hace muy improbable que una aplicación maliciosa pudiera explotar el software para realizar acciones no autorizadas. Esto significa que en un principio no hay riesgo para la seguridad de los dispositivos afectados, pero, como indica XDA Developers, abre la puerta al rooteado de los OnePlus 3, OnePlus 3T y OnePlus 5 sin necesidad de desbloquear el gestor de arranque.
Puesto que la aplicación EngineerMode no debería estar instalada en ningún dispositivo comercial, su mera existencia es indeseable para OnePlus. Es por tanto de imaginar que la compañía lance próximamente algún tipo de parche para eliminarla. También es de esperar que el futuro OnePlus 5T (que será presentado esta semana) llegue con una versión actualizada del sistema operativo.
El propósito de la aplicación, que fue hallada hace tiempo pero cuya utilidad se desconocía hasta ahora, ha sido divulgado por un usuario de Twitter que se hace llamar Elliot Anderson (sí, ese Elliot). El software en cuestión recibe el nombre EngineerMode y forma parte de las herramientas facilitadas por Qualcomm a los fabricantes de dispositivos para testar sus componentes, por lo que todo apunta a que se trata de un simple accidente y no de algún tipo de estrategia con tintes oscuros.
Según ha podido descubrir Elliot, EngineerMode puede rootear un dispositivo con la ayuda de una contraseña. La clave no es otra que "angela" (aparentemente sí, esa Angela). Esta operación requiere el acceso a un shell ADB, lo que hace muy improbable que una aplicación maliciosa pudiera explotar el software para realizar acciones no autorizadas. Esto significa que en un principio no hay riesgo para la seguridad de los dispositivos afectados, pero, como indica XDA Developers, abre la puerta al rooteado de los OnePlus 3, OnePlus 3T y OnePlus 5 sin necesidad de desbloquear el gestor de arranque.
Puesto que la aplicación EngineerMode no debería estar instalada en ningún dispositivo comercial, su mera existencia es indeseable para OnePlus. Es por tanto de imaginar que la compañía lance próximamente algún tipo de parche para eliminarla. También es de esperar que el futuro OnePlus 5T (que será presentado esta semana) llegue con una versión actualizada del sistema operativo.
Me parece que el mercado de terminales chinos se va poner interesante; bonita campaña de marketing para Mr.Robot ;-)
Como hace falta acceso ADB, para que se rooteara el móvil sería necesario acceso físico al móvil. Sin acceso físico, el usuario tendría que abrir de manera consciente el agujero (permitiendo la conexión ADB por wifi, y permitiendo la conexión ADB de la fuente desconocida).
Y después, para que ese root fuera usable, sería necesario instalar apps que lo usaran (cosa que no se puede hacer remotamente, haría falta que el usuario o "malhechor" instalara una aplicación maliciosa) y/o abrir el acceso root a procesos de inicialización (cosa que tampoco se puede hacer remotamente).
Es decir, para que eso pueda generar un fallo de seguridad haría falta un usuario imbécil o acceso físico al móvil. Y con usuario imbécil o acceso físico, cualquiera puede ya hacer casi todo sin que haga falta root...
Parece ser que hay alguien que entiende de que va la cosa...
Aún así, mu mal chicos de One Plus... Muy mal... [bad]
venía a decir esto básicamente... ;)
Pues no es para tanto, muy improbable diría yo...
En xiaomi, por ejemplo, es fácil, pero las actualizaciones pasan a ser completas y pierdes el root cada vez que actualizas.
Si tienes un gestor de derechos (superu o similar) y deniegas derechos por defecto, si una app intenta hacerlo por su cuenta, la bloquea.