OnePlus dejó una app de desarrollo con una backdoor en todos sus equipos (y parece que fue intencional)

Publicado el 15 noviembre 2017 por Cosmoduende @cosmoduende

El día de ayer, un investigador publicó en twitter que encontró una app preinstalada en equipos de OnePlus que practicamente podía servir de backdoor al equipo, siendo una grave vulnerabilidad para los dispositivos de la marca, aunque OnePlus no lo ve así.

El investigador de seguridad movil Robert Baptiste, que en Twitter se hace conocer con la cuenta @fs0c131y y el nombre Elliot Anderson ( los dos referentes a la popular serie Mr.Robot) publicó ayer su descubrimiento sobre una app llamada EngineerMode que venía preinstalada en varios modelos de smartphone de la compañía china OnePlus, el problema con esta app es que permite el acceso de root al equipo dando completo control del mismo a quién use esta vulnerabilidad.

pero ¿cómo es posible que la app se encuentre preinstalda? De acuerdo con lo que dice Baptiste, esta es una app de Qualcomm personalizada para OnePlus que es usada internamente por la compañía para probar los equipos, es decir, este tipo de app es usada internamente por las empresas fabricantes de smartphones pero se supone que esta app no debería venir preinstalada en los equipos comerciales. Sin embargo Baptiste y la firma NowSecure dicen que la app se ha encontrado hasta ahora en los modelos de OnePlus OnePlus 3, 3T y 5 que vienen con la ROM OxygenOS desarrollada también por OnePlus.

If you have an OnePlus device, I’m pretty sure you have this app pre-installed. To check open Settings -> Apps -> Menu -> Show system apps and search EngineerMode in the app list to check

— Elliot Alderson (@fs0c131y) November 13, 2017

En principio esto suena como un simple error por parte de OnePlus, tal vez los desarrolladores de OnePlus nunca recordaron quitar la app del OS, sin embargo muchos usuarios de OnePlus y lo medios saltaron con el anuncio debido a que esta  no es la primer vez que la compañía tiene un comportamiento sospechoso con los datos de sus usuarios, hace solo un mes se descubrió que la compañía estaba recolectando muchos más datos de sus usuarios que lo que se suele acostumbrar cualquier otra compañía (que sepamos) incluyendo, número de teléfono, IMEI, información de la conexión Wifi y mucho más, incluyendo nombre de toda app alguna vez abierta en el teléfono. En ese momento, despues de haber sido descubiertos, el CEO de OnePlus, Carl Pei dijo que dejarían de recolectar algunos datos como número de teléfono y harían más clara la opción para desactivar la subida de este tipo de datos a OnePlus, de hecho, dice Baptiste que esta noticia fue la que lo llevó a revisar la ROM de OnePlus y que ahora nos llevó a encontrar esta vulnerabilidad.

La app por si sola no es un problema (aunque su backdoor si lo es), pero toda esta situación con OnePlus hace preguntarse el por qué es que se encuentra en todos los equipos recientes de OnePlus; también hay que aclarar que no solo OnePlus dejó esta app en sus equipos comerciales, hasta ahora, la misma app u otras con funciones similares se han encontrado en equipos de Motorola, Xiaomi y Lenovo. En realidad no sabemos si hay alguna razón legítima para mantner una app de desarrollo como esta en los equipos pero definitivamente, es una vulnerabilidad.

De acuerdo con Baptiste, después de que él y NowSecure descubrieron que el password para accesar a la app era simplemente “angela” (que casualmente podría ser otra referencia a Mr.Robot) es sumamente fácil accesar a root.

Awesome! Thanks to @insitusec and the @NowSecureMobile team, we have the password! It’s now possible to root an @Oneplus device with a simple intent pic.twitter.com/gN0awYijBv

— Elliot Alderson (@fs0c131y) November 13, 2017

Esto significa que para la comunidad que gusta de modear sus equipos sería muy facil accesar a root y de hecho Baptiste hablaba de publicar una herramienta justo para hacer esto usando la vulnerabilidad, pero la mala noticia es que también significa que cualquier persona que tenga acceso físico al equipo, podría facilmente sacar datos o poner spyware en el mismo sin ser detectado.

OnePlus se mantuvo sin dar una declaración oficial acerca del caso por más de medio día, pero hace unas dos horas, OnePlus respndió a través de su foro y en resumen dijo que no ven esto como un gran problema de seguridad pero que de todos modos quitarán la función de root de la app “EngineerMode” en la siguiente actualización “OTA”, lo que se me hace muy curioso de esta declaración, es que no piensan remover la app de OxygenOS, lo que despierta más curiosidad del por qué tienen la app preinstalada y nos hace pensar que no fue un error de los desarrolladores de la empresa.

Esta noticia no pudo haber llegado en peor momento para OnePlus, ya que justamente hoy publicaron invitaciones para su evento del 16 de noviembre donde presentarán su nuevo equipo OnePlus 5T.

Ya veremos si las otras empresas en las que se encontró la app, como Motorola y Lenovo o el mismo Qualcomm hablan al respecto.

El informe completo de NowSecure sobre la vulnerabilidad