Cuando todas las miradas están puesta en el nuevo OnePlus 5T que se presentaría en esta semana, se descubre, por desgracia para la firma china, una app que puede ser bastante peligrosa para los usuarios de los móviles OnePlus al conseguir privilegios Root de una forma muy sencilla.
No es la primera vez que OnePlus la «lía» con su software. Hace no mucho, pudimos ver cómo OnePlus recogía datos de sus usuarios y los mandaba a un servidor para posteriormente guardarlos. Esto no gustó nada a la sus usuarios y hasta OnePlus tuvo que pronunciarse oficialmente en su foro, comentado cuál era su motivo y que no, su intención no era espiar a nadie. Para que eso no ocurra, podremos nosotros mismos rootear nuestro móvil Android para poder personalizarlo al gusto.
A tan solo dos días de la presentación del nuevo gama alta de la firma china, nos damos cuenta de que este terminal puede tener ya de salida un pequeño problema y es un problema generalizado en todos los móviles de la compañía. Hoy, se ha descubierto que la marca tiene preinstalado en sus móviles una aplicación, sin darnos cuenta, que actúa como puerta trasera.
OnePlus deja una app interna capaz de obtener privilegios root
Según hemos podido leer en XDA, la gente de OnePlus se ha dejado un programa interno en todos sus móviles, desarrollado por Qualcomm para probar diferentes elementos del móvil de forma más fácil. Esta aplicación parece ser un estándar en todos los móviles, pero claro está, únicamente se encuentran en ellos en la época de desarrollo para probar todos los parámetros posibles del móvil, posteriormente, cuando se pone a la venta, esta app es quitada.
Pues parece que OnePlus se ha olvidado de quitarla. Esta aplicación que se utiliza a modo de prueba está instalada en todos los móviles de la compañía, y sí, viene por defecto con OxygenOS. Si fuese por la app en sí, no tendríamos que preocuparnos, ya que es una app bastante fiable, que se utiliza únicamente para el testeo del terminal.
Awesome! Thanks to @insitusec and the @NowSecureMobile team, we have the password! It’s now possible to root an @Oneplus device with a simple intent pic.twitter.com/gN0awYijBv
— Elliot Alderson (@fs0c131y) 13 de noviembre de 2017
El problema viene cuando esta app es utilizada por otras aplicaciones para conseguir privilegios root. Con esta aplicación llamada EngineerMode, otras aplicaciones pueden acceder al terminal con root y conseguir accesos que ni siquiera nosotros tenemos, por lo que cualquier persona puede acceder a los datos de nuestro móvil. Ha sido Elliot Alderson (no, no es el del Mr.Robot, es un apodo) quien ha podido acceder a un móvil OnePlus a través de esta aplicación, y así lo explica en su Twiter: muy fácil y sin desbloquear el bootloader.
Una vulnerabilidad que tiene que ser solucionada ya
Esta app no se quedó en el sistema con fines maliciosos, al no ganar nada OnePlus en caso de que alguien pueda acceder a tu terminal, sino todo lo contrario. Esta app seguramente se dejó en el terminal porque, o se les olvidó quitarla, o porque no veían que se puede convertir en un arma para los hackers para acceder a tu terminal.
Ahora, con el código de compilación publicado en Internet para que cualquier aplicación acceda a los datos de tu móvil, sí es una gran vulnerabilidad que tiene que ser solucionada por la firma china cuanto antes. Esperamos una respuesta por parte de OnePlus en las próximas horas o días, para ver qué comentan al respecto.