Gadgetshowto
Ten minste twee van de recente vlaggenschepen van OnePlus hebben naar verluidt een app genaamd 'EngineerMode' die deze apparaten kwetsbaar maakt voor compromissen. Dus wat is het precies en welke bedreigingen vormt het? EngineerMode is een diagnostische app ontwikkeld door Qualcomm en aangepast door OnePlus voor het testen van apparaten voorafgaand aan de implementatie in de productie-build van OxygenOS. De app wordt standaard geïnstalleerd op de OnePlus 5, 3T en 3 en is toegankelijk via Instellingen> Apps> Menu (drie puntjes rechtsboven)> Systeem-apps weergeven. We kunnen de aanwezigheid van de EngineerMode bevestigen op beide OnePlus 5-eenheden die door onze collega's worden gebruikt (OxygenOS 4.5.14, buildnummer ONEPLUSA5000_23_171031).
EngineerMode kan ADB-root inschakelen, wat privileges zou bieden voor ADB-commando's, maar volgens OnePlus zal "apps van derden geen toegang krijgen tot volledige rootprivileges". Wat de EngineerMode doet, is geef root-toegang tot het OnePlus-apparaat met het juiste wachtwoord. Als dat het geval is, kan het een groot beveiligingsprobleem worden als bekwame reverse-engineers het wachtwoord kunnen identificeren dat nodig is om de diagnosemodus in te schakelen. Meerdere rapporten op het net lijken nu te suggereren dat het binaire bestand EngineerMode.apk is gedemonteerd door beveiligingsonderzoekers die het open source reverse-engineering-framework Radare gebruiken, waardoor het wachtwoord wordt gedecodeerd en de diagnostische modus op het apparaat is ingeschakeld.
Toen berichten over de EngineerMode eenmaal op het net begonnen te circuleren, meldden veel Lenovo- en Motorola-gebruikers ook de aanwezigheid van de app op hun apparaten. Dat is niet ongebruikelijk, aangezien beide Qualcomm-chips gebruiken in het aandeel van de leeuwen op hun smartphones. Hoewel OnePlus al op het probleem heeft gereageerd door te stellen dat het een update zal uitrollen die de adb root-functie van EngineerMode uitschakelt, moeten Qualcomm en Lenovo nog officiële verklaringen vrijgeven.
