Se descubre que OnePlus otorga peligrosamente el control total de sus smartphones
Prácticamente todos los días surgen nuevos inconvenientes de diferente grado de importancia con casi todos los smartphones prémium del mercado, pero especialmente con aquellos de los que más se esperaba. OnePlus ha sido siempre una pequeña marca con un horizonte de crecimiento envidiable y construida sobre firmes cimientos.
Los productos de OnePlus suelen gozar de la mejor de las reputaciones, tanto por sus diseños atrevidos, sus potentes hardwares y sus precios extremadamente accesibles para tratarse siempre de teléfonos inteligentes de alta gama. Pero parece que la dulce inocencia que alguna vez lo caracterizó podría haberlos hecho cometer uno de los más graves errores en su corta historia: la posibilidad de darles control total de sus smartphones a través del fácil acceso a root.
Here the Privilege class. Check the name of native library used to check the code: door... Ladies and Gentlemen please say hi to the backdoor made in @Qualcomm pic.twitter.com/ns0JI1nvWD
— Elliot Alderson (@fs0c131y) November 13, 2017
El usuario @fs0c131y que se hace llamar Elliot Alderson -mismo nombre ficticio del protagonista de la serie Mr. Robot que trata sobre cyberseguridad-, descubrió que OnePlus instaló en sus recientes smartphones, el OnePlus 5, el OnePlus 3T, el OnePlus 3, una aplicación llamada "EngineerMode" que fue concebida con fines benignos, como realizar pruebas de vibración, GPS, etc., pero que es la puerta de acceso a root con la contraseña adecuada.
El acceso a root permite modificar cosas potencialmente dañinas para el teléfono objetivo y podría dejarlo inutilizado de forma permanente. Claro que para eso haría falta no solo la contraseña adecuada, sino también tener el teléfono conectado a una computadora que esté corriendo el programa Android Debug Bridge, combinación que es improbable, pero que podría ocurrir.
Awesome! Thanks to @insitusec and the @NowSecureMobile team, we have the password! It's now possible to root an @Oneplus device with a simple intent pic.twitter.com/gN0awYijBv
— Elliot Alderson (@fs0c131y) November 13, 2017
Horas más tarde, los usuarios @institusec y @NowSecureMobile proveyeron la contraseña para acceder a root, "Angela", y así cualquiera con la intención de acceder al control total del smartphone puede hacerlo con un simple intento y las herramientas que se citan más arriba. El error es fatídico y abre las puertas a que cualquier hacker malintencionado arruine la experiencia de un usuario con su OnePlus.
Thanks for the heads up, we're looking into it.
— Carl Pei (@getpeid) November 13, 2017
Por suerte, Elliot Alderson tuvo la deferencia de notificarle al CEO de OnePlus, Carl Pei, a través de la misma red social, quien respondió agradeciendo por el aviso y anunciando que el equipo de OnePlus estaba ahora detrás de este asunto, presuntamente para solucionarlo cuanto antes y poder brindar calma de nuevo a sus usuarios.