Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Denise Bergert 45

OnePlus: Wartungs-App EngineerMode fungiert als Smartphone-Backdoor

OnePlus: Wartungs-App EngineerMode fungiert als Backdoor

Auf dem OnePlus 5 ist EngineerMode ebenfalls installiert.

Bild: OnePlus

Die auf OnePlus-Smartphones installierte Diagnose-App EngineerMode fungiert als Backdoor und kann Angreifern Root-Zugriff gewähren.

Ein Android-Entwickler mit dem Twitter-Namen Elliot Alderson hat eine Backdoor in einer Wartungs-App auf Smartphones von OnePlus entdeckt. Der chinesische Elektronik-Hersteller hat auf seinen Smartphone-Modellen OnePlus 3, OnePlus 3T und OnePlus 5 sowie in OxygenOS für das OnePlus One eine Test- und Diagnose-App namens EngineerMode installiert. Die Software wurde vom Chip-Hersteller Qualcomm entwickelt und an Gerätehersteller verteilt. Denen soll die App ein einfaches Testen der einzelnen Hardware-Komponenten während der Produktion ermöglichen. XDA Developers entdeckte die "versteckte“ Diagnose-Software bereits Mitte April, war sich eigenen Aussagen zufolge damals jedoch noch nicht darüber im Klaren, was mit ihr möglich ist.

Anzeige

Der Twitter-Nutzer, dessen Name übrigens auf die Hauptfigur der Hacker-Serie Mr. Robot anspielt, hat die Software dekompiliert und den Quellcode auf GitHub veröffentlicht. Bei seiner Analyse stieß er auf eine interessante Routine namens DiagEnabled. In Verbindung mit dem korrekten Passwort kann der Nutzer darüber Root-Zugriff erlangen, ohne den Bootloader zu starten. Alderson untersuchte die libdoor.so-Bibliothek des Smartphones und bekam Root-Zugriff, indem er die escalate- und isEscalated-Methoden in der DiagEnabled-Aktivität umging. Mit der Hilfe von zwei weiteren Sicherheitsexperten konnte Alderson das Passwort schließlich knacken – wobei dieses ebenfalls eine Anspielung auf die Hacker-Serie Mr. Robot enthält.

Alderson befürchtet, dass auch andere Qualcomm-Kunden ihre Geräte mit EngineerMode ausliefern; laut ersten Rückmeldungen von Nutzern sind auch das Asus Zenfone, das Redmi 3s und die Android-Variante MIUI von Xiaomi betroffen.

Beim EngineerMode handelt es sich aktuell um einen Exploit. Die Hersteller können die Lücke schließen, indem sie die App EngineerMode per Patch entfernen. OnePlus-Mitbegründer Carl Pei bedankte sich heute per Twitter für den Hinweis und erklärte, dass sich sein Unternehmen die Lücke näher anschauen werde. Elliot Alderson will demnächst noch eine App zum Rooten von OnePlus-Smartphones veröffentlichen. Mit der aktuellen Methode kann nicht jede beliebige App Zugriff erlangen, doch in Verbindung mit anderen Sicherheitslücken könnte die Backdoor gefährlich werden.

OnePlus war erst im Oktober in die Kritik geraten. Der britische Tech-Blogger Christopher Moore hatte damals herausgefunden, dass OnePlus-Smartphones detaillierte Nutzerstatistiken sammeln und anonymisiert an den Hersteller senden. Die in OxygenOS integrierte Funktion ließ sich von Nutzern nicht abschalten. Carl Pei versprach damals nach einem öffentlichen Aufschrei, dass die Datensammlung in zukünftigen OxygenOS-Versionen optional sein werde. (Denise Bergert) / (axk)

45 Kommentare

Themen:

Anzeige
  1. Oneplus loggt Daten der Smartphone-User

    OnePlus

    Nach den Entdeckungen eines Bloggers steht der Smartphone-Hersteller Oneplus in der Kritik. Der Blogger deckte auf, dass Oneplus-Smartphones detaillierte Nutzungsprotokolle unanonymisiert an den Hersteller sendet. Und das kann man nicht abschalten.

  2. Smartphone-Hersteller Oneplus rudert beim Datensammeln etwas zurück

    Smartphone-Hersteller Oneplus rudert beim Datensammeln etwas zurück

    Ein Mitarbeiter von Oneplus nimmt im offiziellen Forum Stellung zur Datensammelei und erklärt, dass man nun weniger Geräteinformationen auswerten will.

  3. OnePlus 3 und 3T bekommen Android O, keine Updates für OnePlus 2

    OnePlus 3 und 3T bekommen Android O, keine Updates für OnePlus 2

    OnePlus bereitet den Start des OnePlus 5 vor. Die Produktion der Vorgängermodelle wird daher beendet; das Update auf Android O sollen das OnePlus 3 und das OnePlus 3T aber trotzdem bekommen.

  4. Xposed Framework für Android 7 veröffentlicht

    Android

    Das als Grundlage für weitere Modifikationen am Android-Betriebssystem dienende Xposed Framework steht nun auch für Geräte mit Android Nougat zur Verfügung.

  1. Die 10 besten Smart-TV-Apps

    Auf deinem Smart TV solltest du einige Apps unbedingt installieren! Wir zeigen dir die 10 besten Apps für deinen Fernseher.

  2. Brauche ich einen Virenscanner für mein Android-Smartphone?

    Immer wieder liest man von Android-Viren, die Smartphones und Tablets befallen. Wir verraten dir, ob du einen Virenscanner für Android brauchst.

  3. Hackerangriff: So schützt du deine Online-Konten

    Hacker haben es vor allem auf deine Online-Zugänge abgesehen. Wir zeigen dir, wie du deine Online-Konten vor Angriffen und Schäden schützt.

  1. Sicherheitslücke in HP-Druckern – Firmware-Updates stehen bereit

    Hewlett-Packard-Logo

    Unter Verwendung spezieller Malware können Angreifer aus der Ferne auf Drucker von HP zugreifen und dort unter anderem gerätespezifische Befehle ausführen. Der Hersteller hat Updates bereitgestellt und empfiehlt die umgehende Aktualisierung.

  2. Mini tritt bei der Dakar-Rallye 2018 mit Allrad- und Hinterradantrieb an

    Mini

    Am 6. Januar 2018 startet in Lima die 40. Rallye Dakar. Mini wird die Rallye erstmals mit zwei konzeptionell komplett unterschiedlichen Fahrzeugtypen bestreiten. Zum Allradler kommt ein Buggy mit Hinterradantrieb

Anzeige