Bortglömd bakdörr upptäckt

Oneplus-mobiler bär på allvarlig sårbarhet

Samtliga Oneplus-telefoner som kör Oxygen OS har av allt att döma en sårbarhet i form av en bortglömd bakdörr, något som gör det enkelt för en förövare att ta kontroll över enheterna.

Publicerad 14 nov 2017 kl 14.35 Senast uppdaterad 14 nov 2017 kl 14.35

Annons

Det är en hackare som kallar sig Elliot Anderson som twittrat om sitt fynd. Sårbarheten finns i en Qualcomm-app kallad ”EngineerMode” som kommer förinstallerad på alla Oneplus-enheter som kör Oxygen OS, en app som är tänkt att användas för test av telefonerna innan de skickas ut till kunderna, men som tycks ha glömts kvar. Och inte nog med det: Appen innehåller dessutom en bakdörr i form av ett hårdkodat lösenord (angela) som ger administratörsrättigheter på enheterna.

Kräver fysisk tillgång

Det krävs förstås att en potentiell förövare har fysisk tillgång till enheten för att kunna dra nytta av sårbarheten. Men det går i teorin att anluta till mobilen på distans via någon annan sårbarhet, för att sedan dra nytta av bakdörren för att skaffa sig just administratörsrättigheterna. Oneplus-grundaren Carl Pei skriver på Twitter att man nu ser över saken, men någon officiell kommentar kring bakdörren har man ännu inte gått ut med.

Annons