info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

درب پشتی بر روی دستگاه‌های OnePlus

خلاصه: یک مشکل دیگر برای کاربران OnePlus.  این کمپانی گوشی‌های هوشمند چینی یک درب پشتی بر روی همه‌ی گوشی‌های OnePlus رها کرده است. اگرچه احتمال اینکه این برنامه به طور گسترده مورد سوءاستفاده قرار گرفته باشد کم است، به نظر می‌رسد که یک نگرانی جدی امنیتی برای کاربران OnePlus است، چراکه هر کسی تنها با یک دستور ساده می‌تواند دسترسیroot را به ‌دست آورد.

یک مشکل دیگر برای کاربران OnePlus.

 فقط یک ماه پس از اینکه OnePlus به‌ خاطر جمع‌آوری اطلاعات قابل شناسایی شخصی کاربرانش گرفتار شد، این کمپانی گوشی‌های هوشمند چینی یک درب پشتی بر روی همه‌ی گوشی‌های OnePlus رها کرده است.

یک کاربر توییتر به ‌نام Eliot Anderson یک درب پشتی (یک اکسپلویت) در همه‌ی دستگاه‌های OnePlus که سیستم‌عامل Oxygen را اجرا می‌کنند را کشف کرده است که به هر کسی امکان دسترسی root به دستگاه را می‌دهد.

برنامه‌ی مورد نظر به نام EngineerMode، یک برنامه‌ی آزمایشی تشخیصی است که توسط Qualcomm برای تولیدکنندگان دستگاه‌ها جهت تست آسان همه‌ی کامپوننت‌های سخت‌افزاری دستگاه ساخته شده است.

این APK از پیش نصب ‌شده روی بیشتر دستگاه‌های OnePlus شامل OnePlus 2,3,3T و Onplus5 تازه راه‌اندازی شده وجود دارد. و وجود آن بر روی OnePlus 2,3  و ۵ تأیید شده است.

شما نیز می‌توانید بررسی کنید که آیا این اپلیکیشن بر روی دستگاه OnePlusتان نصب شده است یا نه. برای این کار به راحتی به قسمت تنظیمات بروید، قسمت apps را باز کنید و show system apps را فعال کنید و EngineerMode.APK را در لیست جستجو کنید.

اگر وجود داشته باشد، هر کسی با دسترسی فیزیکی به دستگاهتان می‌تواند از EngineerMode برای به ‌دست آوردن دسترسی روی گوشی هوشمند شما بهره‌برداری کند.

EngineerMode برای تشخیص مشکلات GPS طراحی شده است و وضعیت root دستگاه را بررسی کرده، یک سری آزمایش خط تولید اتوماتیک را انجام می‌دهد.

پس از decompile فایل EngineerMode APK ، کاربر توییتر فعالیت DiafEnabled را (که اگر با پسورد خاصی باز باشد به کاربر امکان دسترسی روت کامل به گوشی هوشمند را می‌دهد) ر ا یافت -بدون حتی بازکردن قفل bootloader.

اگرچه احتمال اینکه این برنامه به طور گسترده مورد سوءاستفاده قرار گرفته باشد کم است، به نظر می‌رسد که یک نگرانی جدی امنیتی برای کاربران OnePlus است، چراکه هر کسی تنها با یک دستور ساده می‌تواند دسترسیroot را به‌ دست آورد.

 علاوه‌ بر ‌این، با دسترسی root، یک مهاجم می‌تواند کارهای خطرناک زیادی (ازجمله نصب بدافزار جاسوسی پیچیده که تشخیص و حذف آن سخت می‌باشد) را روی گوشی OnePlus قربانی انجام دهد.

در همین حال، به ‌منظور حفاظت از خود و گوشی‌های‌شان، دارندگان گوشی‌های OnePlus می‌توانند به راحتی root را بر روی دستگاه خود غیرفعال کنند. برای این کار دستور زیر را روی ADB shell اجرا کنید:

setprop persist.sys.adb.engineermode 0" and "setprop persist.sys.adbroot 0" or call code *#8011#

در پاسخ به این مشکل یکی از بنیان‌گذاران OnePlus گفت که شرکت این موضوع را پیگیری خواهد کرد.

کاربر توییتر قول داده است که یک برنامه‌ی rooting با استفاده از یک کلیک، را با استفاده از این اکسپلویت برای دستگاه‌های OnePlus منتشر خواهد کرد.