Разработчик Elliot Alderson обнаружил бэкдор, который содержится почти на всех устройствах OnePlus с OxygenOS. Этот бэкдор дает возможность получить суперпользовательские права на смартфоне.
Как утверждают представители компании, OnePlus специально разместила в своих устройствах приложение EngineerMode. Эта программа диагностики, которую разработала компания Qualcomm, предназначена для заводских испытаний устройств. Оказалось, что это приложение присутствует в большинстве смартфонов OnePlus, в том числе OnePlus 2, 3, 3T и 5. Пользователи смартфонов могут найти EngineerMode.APK, открыв «Настройки», а затем «Системные приложения».
Проведя анализ EngineerMode.APK, Elliot Alderson выявил функцию DiagEnabled, которая при вводе особого пароля (Angela) дает полный доступ к смартфону без разблокировки загрузчика. Имея суперпользовательские права, злоумышленник может осуществлять разные действия на смартфоне, например, устанавливать сложные шпионские программы.
Соучредитель OnePlus Карл Пэй сообщил, что сейчас сотрудники компании занимаются изучением проблемы. Чтобы предотвратить использование уязвимости, необходимо отключить на устройстве доступ с суперпользовательскими правами.
