Eerder deze week claimde een hacker een backdoor te hebben gevonden in de software van de OnePlus 3, OnePlus 3T en OnePlus 5 waarmee het mogelijk is om roottoegang te krijgen. OnePlus heeft via zijn forum laten weten het probleem op te gaan lossen via een over-the-air-update, hoewel een exacte datum van release nog niet is bekendgemaakt.
De OnePlus 3(T) en OnePlus 5 worden geleverd met testapp van Qualcomm met de naam EngineerMode. De app geeft gebruikers roottoegang tot de telefoon zonder de bootloader te ontgrendelen. Een kwaadwillende gebruiker zal daarom je telefoon fysiek moeten meenemen om misbruik te maken van de bug. Maar zodra iemand toegang heeft verkregen is het eenvoudig om spy- en/of malware te installeren op je smartphone.
Een OnePlus-medewerker heeft in een forumpost uitgelegd dat EngineerMode een diagnostisch hulpmiddel is dat wordt gebruikt tijdens de productie en voor ondersteuning wanneer klanten om hulp vragen. OnePlus stelt dat apps van derden geen volledige roottoegang kunnen krijgen via EngineerMode. De backdoor wordt daarom niet gezien als een groot beveiligingsprobleem.
Using @fridadotre and the script attached, I managed to bypass the escalate and isEscalated methods and become root pic.twitter.com/oXGGEIqFad
— Elliot Alderson (@fs0c131y) November 13, 2017
“Hoewel we dit niet zien als een groot beveiligingsprobleem, begrijpen we dat gebruikers zich nog steeds zorgen maken over de situatie”, zei de medewerker, waarbij het uitlegde dat het verkrijgen van roottoegang via adb gaat verdwijnen via een toekomstige update. De ontdekte backdoor komt waarschijnlijk als slecht nieuws voor OnePlus, want het bedrijf gaat morgen zijn nieuwste vlaggenschip onthullen, de OnePlus 5T.
Daarnaast bleek vorige maand dat OnePlus gegevens van zijn smartphones verzamelde. Het besturingssysteem OxygenOS registreerde wanneer een gebruiker het scherm vergrendelde of ontgrendelde; wanneer apps werend geopend, gebruikt en gesloten; en met welke Wi-Fi-netwerken het apparaat verbinding maakte. Maar OnePlus verzamelde ook het IMEI-nummer, telefoonnummer en de naam van het mobiele netwerk, waardoor je eenvoudig kan worden geïdentificeerd.