Des utilisateurs ont découvert une mystérieuse application au sein de la ROM des OnePlus 3, 3T et 5. Normalement destinée aux tests usine du téléphone, elle laisse une dangereuse porte dérobée au sein du système.
Mise à jour du 16/11 :
Suivant la réponse officielle de OnePlus, Qualcomm a aussi tenu à réagir à cette controverse du fait que l’outil ciblé est censé être l’un des siens. Pour s’en dissocier, la marque américaine a déclaré :
Après enquête approfondie, nous avons déterminé que l’application EngineerMode pointée du doigt ici n’a pas été validée par Qualcomm. Bien que des parties du code source de Qualcomm soient toujours présentes, nous pensons que d’autres ont construit sur la base d’une ancienne version de l’application de test Qualcomm au nom similaire qui n’avait pour but que d’afficher les informations de l’appareil. EngineerMode ne ressemble plus au programme original que nous avons fourni.
Il n’est pas étonnant que les constructeurs eux-mêmes modifient l’application de base afin de correspondre à leurs attentes en matière de contrôle qualité. Ce communiqué a de toute évidence pour but de séparer Qualcomm d’éventuelles complications dans cette affaire.
Mise à jour du 15/11 :
Par le biais d’un post sur son forum officiel, OnePlus a réagi à la découverte du fameux EngineerMode et ses capacités. En voici la traduction :
Hier, nous avons reçu de nombreuses questions concernant un APK découvert sur beaucoup d’appareils, dont les nôtres, appelé EngineerMode, et nous aimerions vous expliquer de quoi il s’agit. EngineerMode est un outil de diagnostic principalement utilisé pour les tests en chaîne de production et le support après-vente.
Nous avons vu plusieurs messages par les développeurs de notre communauté qui s’inquiètent parce que cet APK donne les privilèges root. Bien qu’il puisse activer adb root qui offre ces privilèges sur les commandes adb, il ne laissera pas d’applications tierces avoir accès à tous les privilèges root. De plus, adb root est accessible uniquement si le débogage USB, qui est désactivé par défaut, est activé, et n’importe quelle sorte d’accès root requiert ainsi un accès physique à l’appareil.
Bien que nous ne voyons pas cela comme une faille de sécurité majeure, nous comprenons que les utilisateurs puissent toujours être inquiets et allons donc retirer la function adb root d’EngineerMode dans une prochaine mise à jour OTA.
EngineerMode n’était donc pas laissé par erreur, mais ne représente pas selon l’entreprise un risque majeur. La fonction pointée du doigt comme dangereuse sera toutefois prochainement retirée, sans que l’APK en lui-même ne disparaisse.
Article original du 14/11 :
Les constructeurs se doivent de tester les téléphones avant de les envoyer de leur usine vers nos magasins. Pour ce faire, quelques applications existent afin d’en tester rapidement les fonctionnalités de base. Ces applications disparaissent dès lors que les tests sont effectués.
Mieux vaut bien évidemment qu’elles disparaissent, puisqu’elles ont généralement accès à des droits supérieurs à la moyenne. Problème étant que OnePlus a oublié d’en enlever une très importante au sein des OnePlus 3, 3T et 5.
Les OnePlus 3, 3T et 5 ont une porte dérobée préinstallée par erreur
L’application « EngineerMode » a en effet été découverte au sein des ROM installées sur ces 3 appareils. Comme le révèle « Elliot Alderson », fan de Mr Robot mais aussi développeur, cette application est normalement fournie par Qualcomm afin de laisser les OEM tester les fonctionnalités hardware de leurs produits.
Problème étant qu’elle est encore présente sur la ROM utilisateur… et qu’elle ne permet pas que ça. Il est en effet possible de lancer ADB en tant que root directement grâce à celle-ci, en prime d’accéder aux droits root sans même déverrouiller le bootloader.
Des conséquences fâcheuses
Un outil pour ce faire sera bientôt proposé par Elliot Alderson. C’est là, une conséquence bienheureuse de cette application, mais qui a aussi ses répercussions sur la sécurité des appareils.
En effet, l’existence d’une telle application laisse une porte dérobée que peuvent potentiellement utiliser des personnes malveillantes et des malwares. À titre d’exemple, le développeur indique que combiner la vulnérabilité de l’overlay Toast avec ce type d’application pourrait permettre à un malware d’accéder à de nombreux droits.
Il y a fort à parier que OnePlus supprimera très bientôt cette application de son système dans une mise à jour future. D’ici là, ceux souhaitant rooter leurs OnePlus 3, 3T ou 5 seront bien heureux de l’avoir… en espérant que les pirates ne saisissent pas l’occasion trop vite. Rappelons par ailleurs que OnePlus avait été vivement critiqué pour les indiscrétions d’Oxygen OS qui récoltait des données sur ses utilisateurs, avant que la marque ne promette de mieux encadrer ce processus.
Pour aller plus loin
OnePlus 5T : écran, caractéristiques… tous ses détails publiés sur la Toile
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
Qu'il y ait des différences d'usage, c'est normal, c'est pour ça que les 2 existent. Mais ça ne justifie pas de classer (PC est supérieur au tel donc doit être plus cher). Ca n'a pas de sens. Si tu veux faire des choses poussées avec ton PC, tu ne te sers surement pas d'un PC à 500€.
Je pense que la miniaturisation a un coût également, et il y a plus de place dans une tablette.
Tu peux plutôt comparé à une tablette... C'est plus proche en terme d'architecture et de performances. Une tablette est au moins aussi chère à produire (taille de l'écran, de la batterie, taille de la carcasse qui compense l'absence de modem), au final, elle va être vendue beaucoup moins chère
Je n'émet pas de doute sur l’existence de cette appli n'ayant pas de Oneplus sous la main pour tester je vais me fier aux nombreux articles. Néanmoins le timing est quand même surprenant, la veille de sortie du OP5T, je pense que cette faille à été découverte il y a quelques temps et gardé sous la main pour casser la sortie du OP5T. Si je tape "Oneplus" sur google, au lieu de tomber sur les articles "sortie du OP5T aujourd'hui" on tombe sur "Oneplus à laissé une porte dérobée" ou "OP5 faille de sécurité" . Après un hacker veut aussi gagner sa croûte et il est normal de vendre une info comme celle là a une entreprise concurrente. Il ne faut pas être naif et croire que c'est une coïncidence.
On ne doit clairement pas faire le meme genre de chose avec nos PC
Clairement oui.
[…] Lire cet article dans sa source… […]
La marque est peu à peu en entrain de perdre son image de jeune entreprise sympatique, à juste titre
Le consommateur doit aussi de prendre en main je pense. En ce qui me concerne ils peuvent toujours courir s'ils comptent que j'achète un smartphone chaque année. Quelque soit la nouveauté, quelque soit l'innovation, c'est 1 smartphone pour 2 ans MINIMUM !! Celui que j'ai now j'espère qu'il me fasse trois ans.
"Pour ceux qui ne voulent pas rooter leur telephone, une fois activé le adb avec root, vous pouvez faire un simple: pm disable com.android.engineering" Euh...
C'est pour renforcer la crédibilité du personnage. ;)
C'est gentil de leur part d'avoir "accidentellement" laissé une dangereuse application qui permet de rooter facile son téléphone alors qu'avant <a href="https://www.frandroid.com/marques/oneplus/464405_oneplus-oxygenos-est-vraiment-tres-indiscret">leur OS récoltait les données personnels des utilisateurs</a>.
Voilà, congelé dans titanium backup.. et on en parle plus
Pire on est toujours l'idiot de quelqu'un
Sur l'A11?
Dans ce cas la l'iphone X par rapport aux smartphone avec des rubis c'est pas cher aussi ^^
Oui c'est cher mais par rapport aux "grosses marques" c'est bien moins cher.
Va raconter ça à mon Bescherelle.
https://media.giphy.com/media/1Z02vuppxP1Pa/200.gif
Elliot fan de Mr Robot..... L'information est cruciale... Donc en gros très utile pour le root..
On dirait un titre du Gorafi tellement c'est gros !
oui juste une erreur c sa .allez raconte sa a d autre
"Peut-être que si les consommateurs étaient moins pressés d'avoir la dernière nouveauté" Ouais enfin cette envie du consommateur elle est pas venue toute seule hein ! C'est bien les entreprises qui ont créé cette envie pour pouvoir nous revendre des smartphones tous les 6mois pas l'inverse !
Des données qui transitent sur leurs serveurs en arrière plan sans contrôle de notre part et une porte dérobé. Pas mal sécurité chez One Plus.
Ce n'est pas un délire. C'est équivalent sur certains usages, meilleurs sur d'autres, moins bon sur d'autres encore.
Pardon ? L’équivalent d'un ordi ?? Faut arreter les delires la ...
Pour ceux qui ne voulent pas rooter leur telephone ou qui n'aime pas trop l'idée d'avoir une appli exploitable dans leur telephone... une fois activé le adb avec root, vous pouvez faire un simple: pm disable com.android.engineering J'ai pensé à un "uninstall" mais je ne sais pas si ça vaut la peine. Par contre, avoir le adb en root peut-être intéressant pour des petits modifs des fichiers système... on verra si ce mode survit un reboot.
Des prix pratiqués, ça se discute... Certes les smartphones sont chers, mais quand tu vois tout ce qu'il y a dedans (l'équivalent d'un ordi !) et les cadences à tenir, ce n'est pas forcément du vol ! Peut-être que si les consommateurs étaient moins pressés d'avoir la dernière nouveauté, il y aurait plus de test et moins de pression sur les équipes de conception et développement des smartphones, donc une meilleure qualité !
oui , on t'as mentit , ou on t'as fais croire que 500€ dans un smartphone c'etait l'affaire du siecle .. ^^
Des prix pratiqués? Je croyais que Oneplus c'était pas cher. On m'aurait menti?
y'a quand meme énormément de probleme , et ce , avec toutes les marques ... C'est quand meme du foutage de gueule au regard des prix pratiqués
[…] Lire cet article dans sa source… […]
Pour le moins inquiétant, la sécurité chez OnePlus c'est pas ça en ce moment
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
Gérer mes choix