OnePlus preinstala una peligrosa aplicación en sus móviles (actualizado)

OnePlus preinstala una peligrosa aplicación en sus móviles (actualizado)

Descubren que una aplicación preinstalada en móviles de OnePlus permite ganar privilegios de ROOT de un modo muy sencillo. La app actúa de backdoor.

Una aplicación creada por Qualcomm, e instalada en móviles de OnePlus, abre una puerta trasera para habilitar el ROOT incluso sin desbloquear el bootloader.

OnePlus está en la recta final de un desarrollo que le habrá costado meses: ya casi podemos oler el OnePlus 5T. La empresa calienta motores de cara al lanzamiento en Nueva York del jueves. Y no es que sea un secreto, que ya conocemos todo del futuro móvil. Lo que no sabíamos es que una aplicación preinstalada en los smartphones de la marca actuaba a modo de backdoor o puerta trasera.

Según destaca XDA Developers, una aplicación desarrollada por Qualcomm para probar los distintos elementos del teléfono permite obtener privilegios de administrador con demasiada facilidad. Esto es bastante grave ya que cualquier otra app tendría la facultad de aprovechar esos privilegios para hacer cuanto quisiera en el móvil sin que el usuario lo perciba.

EngineerMode, la aplicación preinstalada en los OnePlus que habilita la puerta trasera

OnePlus preinstala una peligrosa aplicación en sus móviles

No es que la aplicación sea maliciosa ni que existan malas intenciones por parte de la empresa, pero sí resulta peligroso que una aplicación de este estilo venga preinstalada en todos los móviles de OnePlus con OxygenOS. La app está desarrollada por Qualcomm, por lo que es fiable. Pero, al disponer de acceso a la raíz del sistema, y estar poco protegida contra su uso fraudulento, resulta relativamente sencillo colarse en el sistema aprovechando la vulnerabilidad.

EngineerMode es una aplicación de “testeo” de sistema que lleva bastante tiempo preinstalada, pero hasta ahora no se había demostrado que es vulnerable a los ataques. El trabajo ha sido realizado por Elliott Alderson en colaboración con NowSecure. Tras descubrir la puerta trasera que dejaba la aplicación, decompilarla y ejecutar la obtención de la clave mediante ADB, el equipo ha conseguido acceder a cualquier OnePlus como administrador de forma sencilla. Y lo que es más importante: de manera limpia y sin la necesidad de desbloquear el bootloader.

Seguramente OnePlus no era consciente del grave riesgo de seguridad que implica preinstalar EngineerMode con permisos de administrador, por lo que no dudamos en que la retirará de próximas actualizaciones de OxygenOS. Pese al riesgo grave que supone, también hay una ventaja: se ha obtenido una manera sencilla de rootear los OnePlus sin la molestia de desbloquear el bootloader.

Cualquiera podría aprovechar la vulnerabilidad, ya se conoce hasta el password

OnePlus preinstala una peligrosa aplicación en sus móviles

Sabiendo que la aplicación está preinstalada en todos los OnePlus, y que el método de acceso ha sido publicado, cualquier aplicación que se instale en un móvil de la marca podría ganar privilegios de administrador con demasiada facilidad. Incluso se ha hecho pública la clave con la que protege EngineerMode el acceso a la raíz del sistema: “Angela“. Uno de los personajes de la serie Mr Robot, en Qualcomm deben ser fans.

OnePlus suele responder a los problemas de software de este calibre con relativa rapidez, por lo que seguro que no tarda en lanzar una actualización de OxygenOS retirando la polémica app. Si tienes uno de estos móviles ándate con cuidado mientras tanto.

Actualización 15-11-17:

OnePlus ha emitido un comunicado en el que explican que no es sencillo ejecutar la acción que permite activar el root usando este método pero que pese a eso eliminarán la aplicación de sus dispositivos mediante una futura OTA.

  • Adrián

    En Youtube ya se puede ver el oneplus 5t. Lo filtró un youtuber

  • Juan Gilsanz

    Yo tengo un OP5 y no quiero que retiren esta app. Que hagan algo para que no sea tan fácil rootear sin permiso del usuario y ya. Y que metan la opción de acceso root un poco oculta en los ajustes de desarrolladores.

    • rocker 822

      Para qué la usas?

      • Eso ¿para qué? Yo tengo un OP5 y me acabo de dar cuenta de que existe esta app instalada

        • Juan Gilsanz

          Yo también me acabo de dar cuenta pero eso bien controlado es una forma sencilla de usar root

  • budy

    A ver quitándote lo permisos se soluciona el problema, solo hay que desactivar donde dice puede modificar ajustes del sistema, en opciones avanzadas del sistema y listo.Eso si si quieres rootearlo tendrás que desactivarlo claro.

  • Androidizado

    Una aplicación para poder testear elementos del hardware del dispositivo. Vamos, lo mismo que haría un código (#xxxx#) en cualquier terminal.

    Madre mía el sensacionalismo de Pedro J.

  • Mangel

    Cuando leí que la vulnerabilidad fue descubierta por Elliot Alderson lo primero que pensé es que tenía que ser una broma por la emisión de la T3 de la serie Mr. Robot, pero no me esperaba que fuesen tan fans de la serie los trabajadores de Qualcomm. Es algo meramente anecdótico pero como guiño es curioso.

El gran error del iPhone X fue prescindir del lector de huellas, te explicamos por qué
Candy Crush celebra su quinto aniversario con la “piñata bomba”
Vídeos El Androide Libre
Huawei Mate 10 y Mate 10 Pro: opiniones y toma de contacto
Nuevo Samsung Galaxy J2 2017
Nubia Z17S y Nubia Z17 mini S, características y precio
Honor 6C Pro, características y precio
Nos colamos en la fábrica de Huawei: así se fabrican sus móviles
He probado el Huawei de 4 cámaras y debería llegar a España
Honor 7X, características y precio
Samsung ha presentado nuevos sensores que acercan el modo retrato a los móviles baratos
Así es el Samsung Galaxy A5 2018
Cómo tener identificador constante de música, igual que en el Google Pixel 2
Descarga la barra de navegación flotante del LG V30 en tu móvil Android
Honor Waterplay, tablet Android resistente al agua
Los Nokia 2, Nokia 7 y Nokia 9 llegarían a principios de 2018
ZTE Axon M, dos pantallas y diseño plegable
Firefox Rocket, el navegador más ligero y potente (APK)

Últimas noticias

Lo más visto