Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.699.191 Produkten

Denise Bergert 45

OnePlus: Wartungs-App EngineerMode fungiert als Smartphone-Backdoor

OnePlus: Wartungs-App EngineerMode fungiert als Backdoor

Auf dem OnePlus 5 ist EngineerMode ebenfalls installiert.

Bild: OnePlus

Die auf OnePlus-Smartphones installierte Diagnose-App EngineerMode fungiert als Backdoor und kann Angreifern Root-Zugriff gewähren.

Ein Android-Entwickler mit dem Twitter-Namen Elliot Alderson hat eine Backdoor in einer Wartungs-App auf Smartphones von OnePlus entdeckt. Der chinesische Elektronik-Hersteller hat auf seinen Smartphone-Modellen OnePlus 3, OnePlus 3T und OnePlus 5 sowie in OxygenOS für das OnePlus One eine Test- und Diagnose-App namens EngineerMode installiert. Die Software wurde vom Chip-Hersteller Qualcomm entwickelt und an Gerätehersteller verteilt. Denen soll die App ein einfaches Testen der einzelnen Hardware-Komponenten während der Produktion ermöglichen. XDA Developers entdeckte die "versteckte“ Diagnose-Software bereits Mitte April, war sich eigenen Aussagen zufolge damals jedoch noch nicht darüber im Klaren, was mit ihr möglich ist.

Anzeige

Der Twitter-Nutzer, dessen Name übrigens auf die Hauptfigur der Hacker-Serie Mr. Robot anspielt, hat die Software dekompiliert und den Quellcode auf GitHub veröffentlicht. Bei seiner Analyse stieß er auf eine interessante Routine namens DiagEnabled. In Verbindung mit dem korrekten Passwort kann der Nutzer darüber Root-Zugriff erlangen, ohne den Bootloader zu starten. Alderson untersuchte die libdoor.so-Bibliothek des Smartphones und bekam Root-Zugriff, indem er die escalate- und isEscalated-Methoden in der DiagEnabled-Aktivität umging. Mit der Hilfe von zwei weiteren Sicherheitsexperten konnte Alderson das Passwort schließlich knacken – wobei dieses ebenfalls eine Anspielung auf die Hacker-Serie Mr. Robot enthält.

Alderson befürchtet, dass auch andere Qualcomm-Kunden ihre Geräte mit EngineerMode ausliefern; laut ersten Rückmeldungen von Nutzern sind auch das Asus Zenfone, das Redmi 3s und die Android-Variante MIUI von Xiaomi betroffen.

Beim EngineerMode handelt es sich aktuell um einen Exploit. Die Hersteller können die Lücke schließen, indem sie die App EngineerMode per Patch entfernen. OnePlus-Mitbegründer Carl Pei bedankte sich heute per Twitter für den Hinweis und erklärte, dass sich sein Unternehmen die Lücke näher anschauen werde. Elliot Alderson will demnächst noch eine App zum Rooten von OnePlus-Smartphones veröffentlichen. Mit der aktuellen Methode kann nicht jede beliebige App Zugriff erlangen, doch in Verbindung mit anderen Sicherheitslücken könnte die Backdoor gefährlich werden.

OnePlus war erst im Oktober in die Kritik geraten. Der britische Tech-Blogger Christopher Moore hatte damals herausgefunden, dass OnePlus-Smartphones detaillierte Nutzerstatistiken sammeln und anonymisiert an den Hersteller senden. Die in OxygenOS integrierte Funktion ließ sich von Nutzern nicht abschalten. Carl Pei versprach damals nach einem öffentlichen Aufschrei, dass die Datensammlung in zukünftigen OxygenOS-Versionen optional sein werde. (Denise Bergert) / (axk)

45 Kommentare

Themen:

Anzeige
  1. Oneplus loggt Daten der Smartphone-User

    OnePlus

    Nach den Entdeckungen eines Bloggers steht der Smartphone-Hersteller Oneplus in der Kritik. Der Blogger deckte auf, dass Oneplus-Smartphones detaillierte Nutzungsprotokolle unanonymisiert an den Hersteller sendet. Und das kann man nicht abschalten.

  2. Smartphone-Hersteller Oneplus rudert beim Datensammeln etwas zurück

    Smartphone-Hersteller Oneplus rudert beim Datensammeln etwas zurück

    Ein Mitarbeiter von Oneplus nimmt im offiziellen Forum Stellung zur Datensammelei und erklärt, dass man nun weniger Geräteinformationen auswerten will.

  3. Xposed Framework für Android 7 veröffentlicht

    Android

    Das als Grundlage für weitere Modifikationen am Android-Betriebssystem dienende Xposed Framework steht nun auch für Geräte mit Android Nougat zur Verfügung.

  4. Verkehrte Welt: Kuriose Problemzonen beim OnePlus 5

    Verkehrte Welt: Kuriose Problemzonen beim OnePlus 5

    Das Display des OnePlus 5 ist "falsch herum" eingebaut, die Stereokanäle passen sich nicht an die Ausrichtung des Smartphones an: Alles so gewollt, sagt der Hersteller.

  1. Vom iPhone zu Android: So gelingt der Smartphone-Wechsel

    Sie haben keine Lust mehr auf das iPhone und wollen ins Android-Lager wechseln? Wir zeigen, wie Sie problemlos umziehen.

  2. Die 10 besten Smart-TV-Apps

    Auf deinem Smart TV solltest du einige Apps unbedingt installieren! Wir zeigen dir die 10 besten Apps für deinen Fernseher.

  3. Android: Gerätemanager einrichten - so geht's

    Der Android-Geräte-Manager ("Find My Device") hilft, wenn Sie Ihr Smartphone verloren haben. Wir zeigen Ihnen, wie Sie die App richtig einrichten.

  1. Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

    Behörden ignorieren Sicherheitsbedenken bei Windows 10

    Deutsche Behörden kaufen fleißig Software bei Microsoft. Dabei gibt es erhebliche Sicherheitsbedenken, die das US-Unternehmen wohl immer noch nicht ausräumen konnte. Unklar ist etwa, welche Daten an den Konzern fließen.

  2. Facebook will Anschriften von Werbekunden überprüfen – via Postkarte

    Facebook will Anschriften von Werbekunden überprüfen – via Postkarte

    Das Soziale Netzwerk will ausländische politische Einflussnahme auf Wahlen mit Hilfe der guten alten Post eindämmen.

  3. Twitter: ab sofort keine Mac-App mehr

    Twitter: ab sofort keine Mac-App mehr

    Das soziale Netzwerk will sich in Zukunft auf ein "konsistentes Anwender-Erlebnis" konzentrieren. Ein Entwickler alternativer Twitter-Apps reagiert mit Preisnachlass.

  4. Siemens-Chef Kaeser: Jobabbau nur Vorgeschmack auf Industrie-Wandel

    Siemens-Chef Kaeser: Jobabbau nur Vorgeschmack auf Industrie-Wandel

    Die Siemens-Beschäftigten laufen seit Wochen Sturm gegen den Jobabbau im Kraftwerksgeschäft. Doch der digitale Wandel schreitet voran - und auch bei anderen Unternehmen wird er massive Folgen haben, ist Konzernchef Kaeser überzeugt.

Anzeige