OnePlus on jättänyt puhelimiinsa testisovelluksen, joka tarjoaa mahdollisuuden myös laitteen roottaukselle ilman sen lukituksen avaamista. Tämä luo laitteisiin merkittävän tietoturvaongelman ja tekee niistä alttitta hyökkäyksille.
Päivitys 15.11. kello 14.05:
OnePlus on kommentoinut asiaa.
”Vaikka emme näe tätä merkittävänä turvallisuusongelmana, ymmärrämme käyttäjillä voivan silti olla yhä huolia ja tulemme näin ollen poistamaan adb-root-toiminnon EngineerModesta tulevassa ohjelmistopäivityksessä”, toteaa OnePlus.
///
Elliot Alderson -nimellä esiintyvä kehittäjä on käynyt läpi roottaukseen vaadittavaa prosessia. Asiasta kertoo muun muassa Android Police -sivusto.
Alun perin EngineerMode-niminen sovellus on tarkoitettu puhelimen toimintojen testaamiseen valmistusvaiheessa. Sen sisältämä DiagEnabled-toiminto kuitenkin mahdollistaa puhelimen roottauksen, havaitsi kehittäjä Elliot Alderson. Roottaus vaatii vain kiinteän salasanan, jonka Alderson sai helposti tietoonsa muiden tietoturva-asiantuntijoiden avulla. Salasana oli ”angela”.
Roottaus mahdollistaa pääsyn Android-laitteen kaikkiin tietoihin sekä niiden muuttamiseen. Toistaiseksi kaikkien sovellusten asentaminen OnePlus-puhelimiin on näin turvatonta. Ongelma koskee niin OnePlus 3, 3T kuin myös OnePlus 5 -puhelimia.
OnePlus ei ole varsinaisesti kommentoinut uutta löydöstä, mutta yhtiön perustajiin lukeutuva Carl Pei on kiittänyt tiedoista Twitterissä.
Edellisen kerran OnePlus oli julkisuudessa kyseenalaisista syistä vain kuukausi sitten, jolloin paljastui sen harjoittama laaja tiedonkeruu puhelinten käytöstä.