OnePlus Engineer Mode: Neue Sicherheitslücke

OnePlus macht gerade wieder Negativ Schlagzeilen. So befindet sich auf dem Smartphone eine App namens "Engineer Mode", welche auf dem Smartphone ohne das Entsperren des Bootloaders einen Root Zugriff öffnen kann. Genutzt wird diese App für die Entwicklung der Firmware bzw. dem Testen dieser. Für die finalen Releases sollte die Engineer Mode App eigentlich entfernt werden, was bei den OnePlus Smartphones aber offensichtlich nicht getan wurde. Entdeckt wurde die Lücke vom findigen Twitter Nutzer "Elliot Anderson".

Sieht man sich die Lücke jedoch genauer an, so ist diese alles andere als einfach auszunutzen. Für das Erlangen von Root Rechten über die Engineer Mode App ist ein Passwort notwendig. Dieses konnte zwar ziemlich schnell ermittelt werden (bei OnePlus lautet es "Angela"), doch das bedeutet immer noch nicht, dass nun potentiell jeder Angreifer ohne Weiteres Root Zugriff auf OnePlus Smartphones erlangen kann.

Tatsächlich ist das Erlangen des Root Zugriffes nur über ADB und damit einen direkten Zugriff auf das Gerät selbst möglich. Es ist aber nicht ganz auszuschließen, dass es möglich ist einen Exploit zu entwickeln, welcher dann auch per App einen Root Zugriff erzeugt, ohne den Weg über die Android Debugging Bridge gehen zu müssen. Insofern hat die Lücke also tatsächlich eine gewisse Relevanz.

Ein Statement von OnePlus bezüglich der Engineer Mode App beschwichtigt natürlich und spielt das Risiko herunter. Man bezieht sich auf die erwähnte Notwendigkeit eines physikalischen Zugangs zum Smartphone. Nichts desto trotz nehme man die Bedenken ernst und will die Engineer Mode App mit künftigen Updates entfernen.

Mittlerweile ist klar, dass OnePlus nicht der einzige Hersteller ist, der gepennt hat. Bei einigen weiteren Herstellern, welche Smartphones mit Qualcomm Chipsatz anbieten, wurde die Engineer Mode App ebenfalls gefunden. Dazu gehören Asus und auch Xiaomi. Wer selbst prüfen will, ob die Engineer Mode App bei ihm vorhanden ist, kann dies in der Liste der auf seinem Smartphones installierten Apps tun.

Wichtig ist allerdings noch zu erwähnen, dass sich dies nun speziell auf Geräte mit Qualcomm Prozessor bezieht! Auch auf Mediatek Smartphones befindet sich eine Engineer Mode App, was in diesem Fall jedoch keine Sicherheitslücke darstellt sondern gewollt ist. Der Engineer Mode von Mediatek bietet dem Nutzer nützliche Möglichkeiten zur tiefergehenden Konfiguration des Smartphones.

Werbung

Quelle(n):

Elliot Anderson / XDA-Developers / OnePlus