Une backdoor dans les smartphones OnePlus ?

Nouvelle polémique pour le fabricant OnePlus à quelques jours du lancement de son nouveau modèle, le 5T. Il y a moins d’un mois déjà, le chinois était accusé de collecter des données personnelles de ses utilisateurs et de les transmettre vers un serveurs localisé aux Etats-Unis via une application système baptisée OnePlus System Service. Le groupe avait alors du se justifier avant d’annoncer la limitation de cette collecte.

 

Aujourd’hui, c’est un développeur connu sous le pseudo Elliot Alderson (le héros de Mr Robot), qui épingle à son tour une application système potentiellement dangereuse pour la sécurité du terminal et donc de ses données. Ce programme, baptisé EngineerMode fourni par Qualcomm permet en effet in fine d’obtenir un statut root non autorisé sur le terminal. Il est présent sur les modèles 3, 3T et 5 du fabricant.

En fait, il s’agirait d’une application « d’usine » qui permet, au moment de la fabrication du smartphone, de vérifier un certain nombre d’éléments logiciels ou hardware. L’application a donc un large accès à l’OS (Oxygen, un dérivé d’Android) pour mener à bien ces tests.

Petit problème, il est possible de s’appuyer sur cette application pour générer soi même un accès root, ce qui s’apparente donc à une backdoor, estime Elliot Alderson. Pour y parvenir, il « suffit » de trouver le mot de passe choisi par OnePlus, manipuler un peu l’application, et ainsi devenir « super-utilisateur » ce qui permet donc de rooter le terminal, c’est à dire accéder à toutes fonctionnalités et paramètres du terminal.

Mais surtout, l’existence de cette porte dérobée pose problème pour la sécurité des utilisateurs car elle peut être exploitée pour injecter du code malveillant. D’ailleurs, OnePlus a indiqué qu’il se penchait d’ores et déjà sur cette question. On peut d’ailleurs se demander pourquoi l’application EngineerMode reste présente dans le terminal lorsqu’il sort des usines alors que sa vocation n’est d’être utilisée qu’en production. 

ZDNet