Skip to content
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Une backdoor dans les OnePlus qui permet de choper un accès root sans avoir à débloquer le bootloader

Amis possesseurs de OnePlus, j’ai une mauvaise nouvelle à vous annoncer. Un internaute répondant au doux nom de Elliot Anderson (Mr Robot), a mis en ligne sur son Twitter des captures écran prouvant l’existence d’un backdoor dans OxygenOS (la distrib Android de Oneplus).

La faille se situe dans l’application de diagnostic EngineerMode développée par Qualcomm, et laissée (accidentellement ??) dans OxygenOS.

Pour savoir si votre téléphone OnePlus possède cette faille, rien de plus simple. Allez dans les paramètres -> Applications -> Menu -> Et affichez les applications système. Vous devriez y voir l’app EngineerMode.

Une personne avec un accès physique à votre smartphone ou une application tierce malveillante peut donc exploiter EngineerMode pour se mettre root sur votre appareil et ainsi accéder à toutes les données et les fonctions du système. Pour le petit lulz, EngineerMode nécessite une clé secrète pour passer en mode root sans même avoir besoin de débrider le bootloader. Et cette clé, après un peu de reverse engineering, c’est « Angela ». Oui comme dans Mr Robot.

Donc pour être root sur un OnePlus 5T par exemple, il suffit d’entrer la commande suivante dans votre terminal (+ d’infos ici) :

adb shell am start -n com.android.engineeringmode/.qualcomm.DiagEnabled –es « code » « angela »

Chauuuud… On attend avec impatience la réaction et les explications de OnePlus et surtout un patch pour corriger rapidement cette faille béante. En attendant, si vous voulez sécuriser votre téléphone, lancez un shell ADB et entrez les commandes suivantes pour désactiver EngineerMode.

setprop persist.sys.adb.engineermode 0

setprop persist.sys.adbroot 0

D’autres roms stock d’autres constructeurs, contenant aussi l’application EngineerMode sont en cours d’analyse. Il n’est pas improbable que cette backdoor soit découverte aussi ailleurs que chez OnePlus… A suivre donc.

Plus de 250 postes dans la tech dans les Côtes d’Armor en Bretagne avec Laou

Vous recherchez un poste de développeur (back, front, fullstack), Devops, dans la cybersécurité ou dans les télécoms ?

Plus de 100 postes sont disponibles dans les Côtes-d’Armor à Lannion. En ce moment plus d’une dizaine d’entreprises recrutent avec Laou des :

  • ingénieur Cloud Storage DevOps (H/F)
  • ingénieur Dev(Sec)Ops Cloud (H/F)
  • Architecte 5G (H/F)
  • Ingénieur(e) Senior Réseaux & Telecom Intégration et Validation (F/H)
  • Cloud Security Assessment Expert
  • Et plus des dizaines d’autres …

Laou est une plateforme spécialisée dans le recrutement IT en région. En plus de vous trouver un job, Laou s’occupe gratuitement de : – Vous trouver votre futur logement – Faciliter votre déménagement – Aider votre conjoint à trouver un job – Vous faire découvrir la ville

Hop c’est par ici ➡️


Les articles du moment