OnePlus deja accidentalmente en sus móviles una puerta trasera capaz de proporcionar acceso root

OnePlus no es una compañía ajena a la polémica. Hace algo más de un mes el autodenominado fabricante de "flagship killers" tuvo que hacer frente a las acusaciones de minado de datos tras descubrirse que estaba recogiendo información identificable de sus usuarios de forma escasamente transparente, y ahora se ha dado a conocer que la firma ha dejado en sus teléfonos una aplicación de testeo de diagnósticos que puede proporcionar acceso root.

El propósito de la aplicación, que fue hallada hace tiempo pero cuya utilidad se desconocía hasta ahora, ha sido divulgado por un usuario de Twitter que se hace llamar Elliot Anderson (sí, ese Elliot). El software en cuestión recibe el nombre EngineerMode y forma parte de las herramientas facilitadas por Qualcomm a los fabricantes de dispositivos para testar sus componentes, por lo que todo apunta a que se trata de un simple accidente y no de algún tipo de estrategia con tintes oscuros.

Según ha podido descubrir Elliot, EngineerMode puede rootear un dispositivo con la ayuda de una contraseña. La clave no es otra que "angela" (aparentemente sí, esa Angela). Esta operación requiere el acceso a un shell ADB, lo que hace muy improbable que una aplicación maliciosa pudiera explotar el software para realizar acciones no autorizadas. Esto significa que en un principio no hay riesgo para la seguridad de los dispositivos afectados, pero, como indica XDA Developers, abre la puerta al rooteado de los OnePlus 3, OnePlus 3T y OnePlus 5 sin necesidad de desbloquear el gestor de arranque.

Puesto que la aplicación EngineerMode no debería estar instalada en ningún dispositivo comercial, su mera existencia es indeseable para OnePlus. Es por tanto de imaginar que la compañía lance próximamente algún tipo de parche para eliminarla. También es de esperar que el futuro OnePlus 5T (que será presentado esta semana) llegue con una versión actualizada del sistema operativo.

Fuente: XDA Developers
Le crecen los enanos a OnePlus, Xiaomi sale en España y Huawei intenta silenciar a Xiaomi con una oferta web del Honor a precio irrisorio.
Me parece que el mercado de terminales chinos se va poner interesante; bonita campaña de marketing para Mr.Robot ;-)
La columna hace que eso parezca un fallo de seguridad, pero en sí no lo es, es un simple exploit para obtener root.

Como hace falta acceso ADB, para que se rooteara el móvil sería necesario acceso físico al móvil. Sin acceso físico, el usuario tendría que abrir de manera consciente el agujero (permitiendo la conexión ADB por wifi, y permitiendo la conexión ADB de la fuente desconocida).

Y después, para que ese root fuera usable, sería necesario instalar apps que lo usaran (cosa que no se puede hacer remotamente, haría falta que el usuario o "malhechor" instalara una aplicación maliciosa) y/o abrir el acceso root a procesos de inicialización (cosa que tampoco se puede hacer remotamente).

Es decir, para que eso pueda generar un fallo de seguridad haría falta un usuario imbécil o acceso físico al móvil. Y con usuario imbécil o acceso físico, cualquiera puede ya hacer casi todo sin que haga falta root...
no se libra ni el tato...jejeje
No se libra ninguna marca [360º]
Patchanka escribió:La columna hace que eso parezca un fallo de seguridad, pero en sí no lo es, es un simple exploit para obtener root.

Como hace falta acceso ADB, para que se rooteara el móvil sería necesario acceso físico al móvil. Sin acceso físico, el usuario tendría que abrir de manera consciente el agujero (permitiendo la conexión ADB por wifi, y permitiendo la conexión ADB de la fuente desconocida).

Y después, para que ese root fuera usable, sería necesario instalar apps que lo usaran (cosa que no se puede hacer remotamente, haría falta que el usuario o "malhechor" instalara una aplicación maliciosa) y/o abrir el acceso root a procesos de inicialización (cosa que tampoco se puede hacer remotamente).

Es decir, para que eso pueda generar un fallo de seguridad haría falta un usuario imbécil o acceso físico al móvil. Y con usuario imbécil o acceso físico, cualquiera puede ya hacer casi todo sin que haga falta root...


Parece ser que hay alguien que entiende de que va la cosa...
Aún así, mu mal chicos de One Plus... Muy mal... [bad]
Sled Hummer escribió:"ACCIDENTALMENTE"....


venía a decir esto básicamente... ;)
ArTrodes escribió:
Patchanka escribió:La columna hace que eso parezca un fallo de seguridad, pero en sí no lo es, es un simple exploit para obtener root.

Como hace falta acceso ADB, para que se rooteara el móvil sería necesario acceso físico al móvil. Sin acceso físico, el usuario tendría que abrir de manera consciente el agujero (permitiendo la conexión ADB por wifi, y permitiendo la conexión ADB de la fuente desconocida).

Y después, para que ese root fuera usable, sería necesario instalar apps que lo usaran (cosa que no se puede hacer remotamente, haría falta que el usuario o "malhechor" instalara una aplicación maliciosa) y/o abrir el acceso root a procesos de inicialización (cosa que tampoco se puede hacer remotamente).

Es decir, para que eso pueda generar un fallo de seguridad haría falta un usuario imbécil o acceso físico al móvil. Y con usuario imbécil o acceso físico, cualquiera puede ya hacer casi todo sin que haga falta root...


Parece ser que hay alguien que entiende de que va la cosa...
Aún así, mu mal chicos de One Plus... Muy mal... [bad]


Pues no es para tanto, muy improbable diría yo...
A ver si cunde el ejemplo y viene en más.
En xiaomi, por ejemplo, es fácil, pero las actualizaciones pasan a ser completas y pierdes el root cada vez que actualizas.

Si tienes un gestor de derechos (superu o similar) y deniegas derechos por defecto, si una app intenta hacerlo por su cuenta, la bloquea.
sonyfallon escribió:No se libra ninguna marca [360º]

apple tal vez¿?¿?jejejj es broma
A ver si me enterado, no supone un riesgo de seguridad pero te permite rootear tu telefono ?

Joder, conojonudo !!!!!!
Sled Hummer escribió:"ACCIDENTALMENTE"....



Venía a comentar exactamente lo mismo jajajajaja
ArTrodes escribió:
Patchanka escribió:La columna hace que eso parezca un fallo de seguridad, pero en sí no lo es, es un simple exploit para obtener root.

Como hace falta acceso ADB, para que se rooteara el móvil sería necesario acceso físico al móvil. Sin acceso físico, el usuario tendría que abrir de manera consciente el agujero (permitiendo la conexión ADB por wifi, y permitiendo la conexión ADB de la fuente desconocida).

Y después, para que ese root fuera usable, sería necesario instalar apps que lo usaran (cosa que no se puede hacer remotamente, haría falta que el usuario o "malhechor" instalara una aplicación maliciosa) y/o abrir el acceso root a procesos de inicialización (cosa que tampoco se puede hacer remotamente).

Es decir, para que eso pueda generar un fallo de seguridad haría falta un usuario imbécil o acceso físico al móvil. Y con usuario imbécil o acceso físico, cualquiera puede ya hacer casi todo sin que haga falta root...


Parece ser que hay alguien que entiende de que va la cosa...
Aún así, mu mal chicos de One Plus... Muy mal... [bad]


Pues a mi no me parece mal. No se pierde seguridad, pues si no tienen acceso físico al móvil no te pueden atacar, pero te permiten acceso para que puedas rootear el móvil si quieres.
Fue sin querer...ya sabéis que en China hay multitud de dialectos y a veces puede que al explicarle al ingeniero de Zhejiang que "la puerta trasera tiene que estar cerrada", él puede entender que "no tiene que estar cerrada".
cercata escribió:A ver si me enterado, no supone un riesgo de seguridad pero te permite rootear tu telefono ?

Joder, conojonudo !!!!!!


Por definición, rootear tu teléfono no supone un riesgo de seguridad. Pero claro, si sabes lo que haces.
Como dice @cuclis , cualquier gestor de root controla el acceso a root de las aplicaciones. Si el usuario sabe lo que hace, no debería tener ningún problema de seguridad por rootear.
avalancha escribió:
ArTrodes escribió:
Patchanka escribió:La columna hace que eso parezca un fallo de seguridad, pero en sí no lo es, es un simple exploit para obtener root.

Como hace falta acceso ADB, para que se rooteara el móvil sería necesario acceso físico al móvil. Sin acceso físico, el usuario tendría que abrir de manera consciente el agujero (permitiendo la conexión ADB por wifi, y permitiendo la conexión ADB de la fuente desconocida).

Y después, para que ese root fuera usable, sería necesario instalar apps que lo usaran (cosa que no se puede hacer remotamente, haría falta que el usuario o "malhechor" instalara una aplicación maliciosa) y/o abrir el acceso root a procesos de inicialización (cosa que tampoco se puede hacer remotamente).

Es decir, para que eso pueda generar un fallo de seguridad haría falta un usuario imbécil o acceso físico al móvil. Y con usuario imbécil o acceso físico, cualquiera puede ya hacer casi todo sin que haga falta root...


Parece ser que hay alguien que entiende de que va la cosa...
Aún así, mu mal chicos de One Plus... Muy mal... [bad]


Pues a mi no me parece mal. No se pierde seguridad, pues si no tienen acceso físico al móvil no te pueden atacar, pero te permiten acceso para que puedas rootear el móvil si quieres.


Mal por no avisar. jejeje
No en serio. Me refiero a que cualquier persona que le guste jugar a ser pirata se la pueden liar por no conocer esa puerta trasera.

Para la mayoría de los "root" le viene de maravilla
Patchanka escribió:
cercata escribió:A ver si me enterado, no supone un riesgo de seguridad pero te permite rootear tu telefono ?

Joder, conojonudo !!!!!!

Por definición, rootear tu teléfono no supone un riesgo de seguridad. Pero claro, si sabes lo que haces.
Como dice @cuclis , cualquier gestor de root controla el acceso a root de las aplicaciones. Si el usuario sabe lo que hace, no debería tener ningún problema de seguridad por rootear.

Me refería a riesgo de seguridad de que te lo consigan acceso root por un ataque remoto ... que es lo primero que he pensado al leer el titular.

Asi viendo el titular parece algo muy malo, y luego lees la noticia y te das cuenta de que es algo muy bueno !!!! :)
Debuten tener una App instalada en el sistema para hacer root ...esperemos que no nos la quiten en android oreo ,maldito Elliot metomentodo,por un lado gracias por haberte coscado de esta backdoor ,pero por otro lado crea una alarma social de que oneplus no es seguro... [enfa] TPM
A mi me interesa bastante puesto que tengo un terminal de esta compañía, y me estaba volviendo loco para encontrar un método persistente de root sin tener que tocar mucha cosa, y voilá, llega Elliott y se lo saca de la manga a One Plus. A ver si saca el APK para aún hacerlo más facil (y no es porque no sepa de que va el shell ADB, es que me da pereza trastear el móvil jajajaj).
sirmac escribió:
sonyfallon escribió:No se libra ninguna marca [360º]

apple tal vez¿?¿?jejejj es broma



Ninguna ! Mira el desastre en velocidad y fluidez que es el nuevo iOS 11 no todos los modelos ! No se salva ninguna
23 respuestas