A poucos dias de ser revelado o novo OnePlus 5T, foi descoberta uma nova vulnerabilidade em vários equipamentos da OnePlus, na qual é possível aceder a comandos de privilégios elevados.
A falha foi descoberta pelo utilizador do Twitter @fs0c131y. A mesma consiste numa aplicação integrada dentro do próprio sistema da OnePlus, apelidada de “EngineedMode”, na qual é possível aceder a um vasto conjunto de comandos administrativos que podem realizar as mais variadas ações no equipamento. Esta aplicação aparenta ter sido desenvolvida pela Qualcomm, como forma de testar o hardware na linha de produção.
No entanto, a OnePlus não procedeu com a sua remoção nas unidades vendidas. Pelo contrário, modificou a mesma, implementou alguns comandos próprios e escondeu a interface dentro do sistema operativo como um “backdoor”.
A mesma encontra-se em vários equipamentos, nomeadamente o OnePlus 5, OnePlus 3 e 3T. Entre os comandos disponíveis, um dos potencialmente mais destrutivos será o “All Clear”, que elimina todos os conteúdos do smartphone.
Porém, o caso é agravado devido a esta mesma aplicação também poder ser explorada para garantir acesso root ao equipamento. O programador @fs0c131y foi capaz de desenvolver uma aplicação própria que explora o “EngineedMode”, dando permissões de acesso root ao equipamento.
Para verificar se o EngineerMode encontra-se instalado no seu equipamento, aceda às definições do Android, opção “Aplicações”, e verifique se na lista surge a referência a “EngineerMode”.
Carl Pei, presidente da OnePlus, já validou a situação, tendo respondido via Twitter que a empresa encontra-se a analisar o caso, mas sem adiantar mais detalhes acerca da resolução.