OnePlus 3, 3T et 5 : au sujet du root, “ce n’est pas un problème de sécurité majeur” selon OnePlus
Il semble que les smartphones de OnePlus (OnePlus 3, 3T et 5) soient particulièrement faciles à rooter à en croire la découverte faite par un développeur. Une application présente au sein du système permet d'obtenir facilement les droits administrateurs donnant l’accès à toutes les ressources de l’appareil. De plus, cela pose une vrai problème de sécurité et le constructeur va devoir rapidement réagir.
Mise à jour du 15/11/2017 : OnePlus répond à la polémique concernant l’application installée permettant un accès root sur ces OnePlus 3, 3T et 5. Nous avons ajouté le message publié par le constructeur sur son forum à la fin de l’article. Une mise à jour pour corriger le problème sera bientôt déployée.
Le constructeur est montré du doigt par un développeur qui partage sa découverte sur XDA. Il est question d’une application “EngineerMode” préinstallée par le constructeur, celle-ci l'aide à tester les terminaux avant qu’ils ne soient commercialisés pour s’assurer de leur bon fonctionnement. Cette dernière bénéficie de privilèges supérieurs afin de pouvoir tester correctement toutes les fonctionnalités du smartphone. En toute logique celle-ci est censée être supprimé avant la commercialisation du terminal où elle est installée. Hors il semble que cela ne soit pas le cas et cela pose un souci de sécurité pour les utilisateurs des OnePlus 3, 3T et 5.
OnePlus 3, 3T et 5 : une application préinstallée permet le root des smartphones
Cela pose un véritable problème pour la sécurité des utilisateurs. On peut imaginer que certains pirates pourraient en profiter pour glisser des malwares facilement, une backdoor (porte dérobée) qui peut faire mal si elle était exploitée de façon malveillante. On imagine que le OnePlus 5T est sans doute aussi concerné par ce problème, il reste encore du temps pour que le constructeur rectifie le tir.
Cette application a été proposée à l’origine par Qualcomm qui est le fournisseur de OnePlus pour ces SoC Snapdragon. Les bidouilleurs de leur côté peuvent y voir une excellente occasion pour rooter leur smartphone sans même avoir à déverrouiller le bootloader de l’appareil. Bien entendu nous ne conseillons pas ce genre de manipulations aux personnes qui se sont pas initiées à la pratique. Si le sujet vous intéresse, nous vous conseillons d’abord de comprendre ce qu’est exactement le root. OnePlus ne va probablement pas tarder à lancer un correctif.
Voici la traduction des propos de OnePlus :
“Hier, nous avons reçu beaucoup de questions concernant une apk (application) trouvée dans plusieurs terminaux, y compris les nôtres, appelé EngineerMode, et nous aimerions expliquer ce que c'est. EngineerMode est un outil de diagnostic principalement utilisé pour les tests de fonctionnalité des lignes de production en usine et le service après-vente.
Nous avons vu plusieurs déclarations de développeurs qui s'inquiètent parce que cet apk accorde des privilèges root. Bien qu'il puisse activer adb root qui fournit des privilèges pour les commandes adb, il ne permet pas aux applications tierces d'accéder aux privilèges root complets. De plus, adb root n'est accessible que si le débogage USB, qui est désactivé par défaut, est activé, et que tout type d'accès root nécessiterait un accès physique à votre périphérique.
Bien que nous ne voyions pas cela comme un problème de sécurité majeur, nous comprenons que les utilisateurs peuvent encore avoir des inquiétudes et donc nous allons supprimer la fonction root adb d'EngineerMode dans une prochaine OTA.”
<Thread> Hey @OnePlus! I don't think this EngineerMode APK must be in an user build…?♂️
This app is a system app made by @Qualcomm and customised by @OnePlus. It's used by the operator in the factory to test the devices. pic.twitter.com/lCV5euYiO6— Elliot Alderson (@fs0c131y) 13 novembre 2017