Android ermöglicht Smartphone-Herstellern eine weitreichende Kontrolle über das von ihnen ausgelieferte Betriebssystem. Doch nicht immer scheinen die OEMs die damit einhergehende Verantwortung vollständig im Griff zu haben. So sieht sich nun OnePlus mit einer äußerst unerfreulichen Entdeckung konfrontiert.

Root

Ein unter dem Pseudonym Elliot Alderson agierender Sicherheitsforscher hat auf mehreren Smartphones des chinesischen Smartphone-Herstellers OnePlus eine hochproblematische App gefunden. Diese erlaubt es jedem Nutzer mit physischem Zugriff auf ein betroffenes Gerät Root-Zugriff zu bekommen, und so eine weitgehende Kontrolle über das Smartphone zu erringen.

Spurensuche

Wer hier jetzt ein beabsichtigtes Backdoor durch den Hersteller vermutet, dürfte trotzdem falsch liegen. Handelt es sich dabei doch um eine durchaus bekannte App: Unter dem Namen "EngineerMode" entwickelt, stammt sie von Chip-Hersteller Qualcomm und ist eigentlich für Diagnoseaufgaben in der Entwicklungsphase eines neuen Smartphones gedacht. OnePlus scheint also schlicht darauf vergessen zu haben, die App aus der finalen Firmware für seine Geräte zu entfernen.

Allerdings macht ein zweiter Umstand die Angelegenheit besonders peinlich für OnePlus: Wird die EngineeringMode-App doch üblicherweise noch zusätzlich durch ein Passwort abgesichert. Das ist zwar auch hier der Fall, allerdings lässt sich dieses Passwort aus einer ebenfalls mitgelieferten Systembibliothek auslesen, wo es nur unzureichend mittels eines SHA256 Hashs verschleiert abgespeichert ist.

Reaktion

Mittlerweile hat auch OnePlus auf die Berichte reagiert, versucht die Gefährdung aber herunterzuspielen. Der erwähnte Root-Zugriff benötige zusätzlich die Aktivierung von USB Debugging – was von Haus aus nicht der Fall ist. Auch sonst begrenze die Notwendigkeit des physischen Zugriffs auf betreffende Geräte reale Angriffsszenarien stark. Insofern sehe man in all dem kein größeres Sicherheitsproblem. Trotzdem wolle man mit einem kommenden Update die Möglichkeit, Root-Rechte via der App zu erlangen, deaktivieren.

Umfang

Von dem Vorfall sind diversen Medienberichten zufolge zumindest das OnePlus 3 als auch das OnePlus 5 betroffen. Es ist aber davon auszugehen, dass sämtliche in den letzten Jahren verkauften OnePlus-Smartphones die erwähnte App mitliefern. (apo, 15.11.2017)