16 Novembre 2017
Aggiornamento 16 novembre 2017
Qualcomm è intervenuta sulla vicenda, dal momento che l'applicazione EngineerMode fa parte del kit di sviluppo rilasciato ai produttori partner. In seguito all'analisi dell'APK presente nei dispositivi di OnePlus, il chipmaker statunitense ha negato ogni coinvolgimento nella creazione della backdoor che permette di ottenere l'accesso ai permessi di root, affermando che questa versione di EngineerMode è stata pesantemente modificata dal produttore, al fine di monitorare altri aspetti del terminale.
Dopo un'attenta analisi, abbiamo stabilito che l'app EngineerMode in questione non è stata sviluppata da Qualcomm. Nonostante sia evidente la presenza di parte del codice sorgente Qualcomm, crediamo che sia stata realizzata da terzi, basandosi su una versione più vecchia di una nostra app che utilizza un nome simile, la quale però può solo mostrare alcune informazioni sul terminale. EnginnerMode è ormai diversa dal codice che abbiamo fornito.
Insomma, pare che OnePlus abbia ancora qualcosa da spiegare, nonostante le dichiarazioni rilasciate ieri.
After an in-depth investigation, we have determined that the EngineerMode app in question was not authored by Qualcomm. Although remnants of some Qualcomm source code is evident, we believe that others built upon a past, similarly named Qualcomm testing app that was limited to displaying device information. EngineerMode no longer resembles the original code we provided.
Aggiornamento 15 novembre 2017
OnePlus, attraverso il suo forum ufficiale, ha risposto alla questione relativa all'accesso ai permessi di root tramite EngineerMode. Nel post si legge che il tool viene utilizzato dalla società sia durante la fase di test di fabbrica, che per offrire assistenza nelle fasi successive alla vendita.
La spiegazione prosegue evidenziando che, sebbene l'app permetta di ottenere l'accesso ai privilegi di root, questi non possono essere sfruttati da app di terze parti, inoltre questo è possibile solo tramite una procedura che coinvolge ADB e richiede l'attivazione della modalità di debug via USB, disattiva di base, quindi l'accesso fisico al terminale.
OnePlus ha aggiunto che, nonostante non pensi che EngineerMode rappresenti un pericolo per la sicurezza, rimuoverà la funzione adb root dell'applicazione con un prossimo update OTA.
Articolo originale 14 novembre 2017
OnePlus rende ancora più facile ottenere i permessi di root sulla propria gamma di terminali, tramite una falla rappresentata un'applicazione utilizzata dalla stessa azienda per condurre alcuni test di fabbrica.
A quanto pare, l'applicazione non verrebbe rimossa dai terminali prima di immetterli sul mercato, e dopo una serie di studi condotti da ed alcune operazioni di reverse-engineering, Elliot Alderson è riuscito ad ottenere lo sblocco dei permessi di root.
L'applicazione in questione si chiama "EngineerMode", viene utilizzata dal personale tecnico per confermare il corretto funzionamento di ogni singolo terminale, è quindi normale trovarla installata di default da OnePlus 3, passando per 3T fino al più recente OnePlus 5.
ll suo obiettivo è prettamente di diagnostico: una volta avviata effettua alcuni test su numerosi componenti come GPS, display o parte telefonica. La falla è emersa solo dopo aver inizializzato il processo "DiagEnabled", protetto però da una password segreta.
Con l'aiuto di alcuni esperti di cyber sicurezza, Elliot è venuto in possesso della password richiesta, e con pochi e semplici passi ha eseguito l'accesso per ottenere i permessi di root, attraverso una serie di righe di comando.
Awesome! Thanks to @insitusec and the @NowSecureMobile team, we have the password! It's now possible to root an @Oneplus device with a simple intent pic.twitter.com/gN0awYijBv
— Elliot Alderson (@fs0c131y) 13 novembre 2017
Nonostante si tratti di un'operazione abbastanza complessa e piuttosto macchinosa, è probabile che da questo esercizio di stile possa nascere una vera e propria applicazione, che svolga tutte le operazioni elencate in maniera automatica, sfruttando questa pericolosa backdoor, che metterebbe comunque a rischio la sicurezza degli utenti stessi.
OnePlus è stata già messa al corrente della situazione, ed al momento, starebbe esaminando la suddetta applicazione per trovare una soluzione in tempi brevi.
OnePlus 5 è disponibile online da eBay a 229 euro.
(aggiornamento del 04 aprile 2023, ore 17:50)
Commenti
ridicoli
Eggia tu sai tutto... Dai zitto cucciolo
No
Silicon valley
Elliot di Mr robot?
Dovrebbe essere opzione di default poter avere accesso ai privilegi root del telefono. Come avviene in Linux. Non come windows ovviamente perché di default permette accesso a tutto.
Quindi credo che per gli utenti oneplus sia una positivo avere questa facoltà senza dover cambiare rom.
ho letto ma di nuovo nessuno ha chiesto nulla a qualcomm.
il problema l'ha creato oneplus. punto.
"Qualcomm è intervenuta sulla vicenda, dal momento che l'applicazione EngineerMode fa parte del kit di sviluppo rilasciato ai produttori partner"
È il primo rigo
Non ci crede nessuno altrimenti non avresti fatto questo commento.
Sempre peggio, tra poco beccheranno anche xiaomi
Già avuto e venduto
e chi c4zzo ha chiesto il parere di qualcomm? excusatio non petita
Si vero ti invito a provare un OP5 per renderti conto di quanto non sai di cosa stai parlando ;)
Ultimissime dichiarazioni di Qalcomm:
"Nun saccio niente... non ai stato io... è stato Razzi"
Ora per punizione qualcomm vieterà a OnePlus di usare lo snap 845 e 855. Dovranno usare i Mediateck X o Intel
A me è partito praticamente subito. Prima la pagina in inglese e poi dopo pochi istanti l'aggiornamento in italiano :)
Ma dove, qui One plus sta prendendo tutto senza dir nulla, è un oscandalo epocale
Mamma mia ma questi One plus sono una discarica
solo se l'attivano comuqnue via server
Per quanto ne so io i prodotti con più back door ed oggetto di sorveglianza massiccia sono quelli americani (escludendo la Nord Corea)
si ti era arrivata anche via server.. io l ho fatto l altro giorno l apk e mi diceva che il servizio nn era disponibile in italiano
https://uploads.disquscdn.c...
naaa. funziona. scaricata da apkmirror e funziona perfettamente
A me va in conflitto con la home di Nova, se ha la possibilità si attiva aprendo un'app in background, ma se chiudo tutto e riprovo il launcher va in crash e vengo riportato a quello stock
Entri in impostazioni, sicurezza e impronta digitale, smartlock.
A volte entri là e c'è solo una schermata bianca, tutte le opzioni di sblocco assenti. Ho risolto disabilitando smartlock in agenti di attendibilità, riavviando e abilitando di nuovo smartlock in agenti di attendibilità, ma poi si è ripresentato il problema. Al momento funziona.
Se cerchi nel forum internazionale vedrai che è un problema diffuso.
no nn funziona se non ti arriva via server
Sul 3T uso quotidianamente lo Smart Lock per luoghi sicuri e per lo sblocco in movimento, per adesso ha sempre funzionato alla perfezione.
Dove trovi la pagina bianca?
oppure installare l'apk di google assistant
Semi OT
Qualche possessore di OP5 (o 3, 3T) riscontra problemi con lo smartlock? A volte funziona, a volte la pagina risulta bianca. Ho già cercato nel forum internazionale, e c'è un sistema, che ha funzionato per un po', poi il problema si è ripresentato. Qualcuno ha risolto definitivamente?
So che con lo sblocco davanti i sistemi di sblocco di smartlock non servono tanto, ma in qualche caso sono comodi
Basta cancellare i dati dal app google ;)
Da me ancora non è attivo...Bisogna scaricare Assistente da PlayStore ?
si ieri sera..
già da ieri sera :P
Bisogna proprio essere idi0ti.
E non parlo dell'azienda.
o.t. hanno rilasciato assistant.. e funge anche bene
L'ho usata per mostrare all'assistenza che il display aveva smesso di funzionare.. All'inizio avevano fatto storie sti caini
Ma che sbadati questi Cinesi... Si sono scordati un'applicazione che potrebbe fungere da backdoor... Ma guarda un po'...
vabbè ha il nickname ispirato, ma mica cambia la notizia...
Elliot Alderson vi ha trollati cari redattori :D
Ma che c'entra dai, anche Samsung ha avuto problemi simili in passato...
Ma basta con questi cinesoni iper bucati e insicuri
Elliot Alderson è riuscito ad ottenere lo sblocco dei permessi di root.
redattore have U ever see mr robot???
Come ogni servizio che utilizzi....guarda che le tecnologie sono quelle, tutti sono attaccabili....
eh le password 'segrete', ahaha
Spoiler per la 3x06 ? Lol
cito il testo: Elliot Alderson (@fs0c131y)
Qualcosa non va xD
LOL
fidarsi dei programmatori amatoriali per affidargli tutti i nostri dati è sempre divertente
ma chi mi diverte di più è chi consiglia poi i prodotti con recensioni e passaparola
Finalmente un modo veloce per eseguire il root!
Sento puzza di fsociety
Ma Elliot Alderson è il nome del protagonista di Mr Robot e voi lo spacciate come fosse il vero nome dell'utente? Hahaha