OnePlus: ‘Nieuwe update die backdoor bij rooten verwijdert binnenkort beschikbaar’
Thomas Haenen

OnePlus belooft een snelle fix voor een nieuwe kwetsbaarheid die hackers hebben ontdekt. Daarmee kunnen kwaadwillenden zichzelf verregaande toegang tot je toestel verlenen.

Hackers ontdekken OnePlus rooten kwetsbaarheid

De kwetsbaarheid zit in de ‘EngineerMode’-app, die standaard op elke OnePlus 5, OnePlus 3T en OnePlus 3 staat. Deze applicatie wordt doorgaans gebruikt om tijdens het productieproces te testen of alle onderdelen in orde zijn, met een serie diagnostische tests. Doorgaans heeft zo’n app nog maar beperkte rechten zodra het toestel de fabriek verlaat. Bij OnePlus is dat niet het geval, zo ontdekte een gebruiker op Twitter.

Update 15 november: OnePlus heeft inmiddels uitgebreid gereageerd op de bug. Een update die het beveiligingslek afdekt, is binnenkort beschikbaar. Wanneer deze precies verschijnt kon de medewerker niet zeggen. Wel geeft de medewerker aan dat gebruikers zich niet zo’n zorgen moeten maken. Hackers kunnen volgens hem alleen inbreken op een toestel met fysieke toegang, dus niet op afstand.

[Oorspronkelijk bericht van 14 november] In de app zit nu nog een ‘DiagEnabled’-commando. Wordt dat commando uitgevoerd, in combinatie met het juiste wachtwoord, dan krijgt een gebruiker roottoegang tot de smartphone. Dat wachtwoord is nu gekraakt en gedeeld door de gebruiker. Met roottoegang is het mogelijk om apps op de achtergrond te installeren en andere functies uit te voeren, zonder dat Android daar permissie voor vraagt.

Met deze kwetsbaarheid kunnen andere apps in theorie scripts uitvoeren die jouw smartphone rooten. Vervolgens wordt voor kwaadwillenden relatief makkelijk om andere malware op je toestel te plaatsen. Zij kunnen zichzelf vervolgens toegang verschaffen tot alle gegevens op je smartphone, zonder dat je daar erg in hebt. Daarbij wordt alle beveiliging op het besturingssysteem omzeild. Voor zover bekend zijn er nog geen apps die van het lek gebruik maken.

Reactie OnePlus: ‘We zoeken het uit’

Voor OnePlus-gebruikers zit er op dit moment weinig anders op dan afwachten tot een update verschijnt die het probleem aanpakt. Door de EngineerMode-app te verwijderen of deactiveren, wordt het probleem waarschijnlijk al opgelost.

De hacker deelde zijn bevindingen én het wachtwoord via Twitter, en schreef daarbij ook OnePlus-ceo Carl Pei aan. Pei reageerde toene nkel met een bedankje voor het delen van de kwetsbaarheid en zegt dat er naar gekeken wordt. Na een dag bevestigde het bedrijf dat een update in ontwikkeling is.

Lees het laatste nieuws over OnePlus

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.