A OnePlus ganhou uma nova dor de cabeça nesta terça-feira (14). Uma espécie de falha foi descoberta em praticamente todos os aparelhos da fabricante, incluindo o recente OnePlus 5.
A brecha é, na verdade, um programa. Ele é chamado de "EngineerMode" e garante acesso a praticamente todas as configurações de root do aparelho sem a necessidade de abrir o bootloader. Ainda é necessário ter o aparelho fisicamente, mas esse modo é uma espécie de porta de entrada bem mais convidativa que o normal. Normalmente, ele deveria ficar bem mais escondido, já que nas mãos erradas pode ser perigoso.
Quem descobriu a falha foi Elliot Anderson, um usuário do Twitter que usa o nome do personagem principal do seriado “Mr. Robot”, que trata do submundo de hackers. Dispositivos como alguns modelos de ZenFone e da família Xiaomi Redmi também possuem o aplicativo, mas nenhuma das empresas se manifestou até o momento e não é possível saber por enquanto se o nível de acesso garantido é o mesmo.
Isso é um problema?
Mais ou menos. Um hacker com o telefone em mãos e o EngineerMode acessado pode controlar praticamente todas as funções do aparelho mesmo sem ser um usuário autorizado. Os privilégios incluem até a instalação de malwares e recuperação de arquivos.
— Elliot Alderson (@fs0c131y) 13 de novembro de 2017
Hey @OnePlus! I don't think this EngineerMode APK must be in an user build...????
This app is a system app made by @Qualcomm and customised by @OnePlus. It's used by the operator in the factory to test the devices. pic.twitter.com/lCV5euYiO6
Normalmente, o EngineerMode é removido antes que o aparelho seja preparado para venda. Porém, como os próprios denunciantes frisaram, ainda é preciso ter acesso físico ao telefone e saber bem o que você está fazendo.
A resposta da OnePlus
Em comunicado oficial, a fabricante chinesa disse que não se trata de “um problema grav de segurança”, mas que vai “analisar o assunto”. Ela explicou que o EngineerMode é uma ferramenta de diagnóstico desenvolvida pela Qualcomm que ajuda na hora dos testes antes do aparelho ser vendido.
Além disso, como ele exige a ativação do modo USB-Debugging para funcionar, que já é uma porta aberta para invasões por si só, o caso não é tão alarmante. Ainda assim, a OnePlus vai remover o acesso fácil à função em uma atualização futura.
Categorias