OnePlus: Puhelimista paljastunut takaovi ei kovin vakava tietoturvauhka – poistetaan kuitenkin tulevassa päivityksessä

Huomenna New Yorkissa uuden OnePlus 5T -puhelimensa julkistava OnePlus on vastannut eilen pinnalle nousseisiin tietoihin sen puhelimiin jääneestä takaovesta, joka saattaisi mahdollistaa hyökkääjälle pääsyn puhelimen kaikkiin tietoihin sekä niiden muuttamiseen.

Ainakin OnePlus 3, OnePlus 3T ja OnePlus 5 -puhelimissa EngineerMode-testisovellus mahdollistaa puhelimen roottauksen ja pääkäyttäjän oikeuksien saamisen ilman puhelimen lukituksen avaamista. EngineerMode-sovellusta käytetään pääasiassa puhelimen toimintojen testaamiseen valmistusvaiheessa sekä myöhemmin huollon yhteydessä.

”Olemme nähneet useita lausuntoja yhteisön kehittäjiltä, jotka ovat huolissaan koska tämä sovellus tarjoaa root-oikeudet. Vaikka se pystyy ottamaan käyttöön adb-rootin, joka tarjoaa oikeudet adb-komennoille, ei se anna kolmansien osapuolten sovelluksille pääsyä root-oikeuksiin”, kertoo OnePlus lausunnossaan. ”Llisäksi adb-roottaus on mahdollista vain, kun USB-debugging-testitila, joka on oletuksena pois päältä, on kytketty toimintaan, ja minkäänlainen root-oikeuksiin pääsy vaatisi silti yhä pääsyä fyysisesti käsiksi laitteeseen.”

Jo alun perin OnePlus-puhelimista löytynyttä takaovea pidettiin vaarallisena vain yhdessä mahdollisten muiden haavoittuvuuksien kanssa.

”Vaikka emme näe tätä merkittävänä turvallisuusongelmana, ymmärrämme käyttäjillä voivan silti olla yhä huolia ja tulemme näin ollen poistamaan adb-root-toiminnon EngineerModesta tulevassa ohjelmistopäivityksessä”, toteaa OnePlus.