Beberapa minggu yang lalu kami menerbitkan artikel yang menjelaskan bagaimana perangkat OnePlus mengumpulkan data pengguna yang dapat diidentifikasi secara pribadi dan mengirimkannya ke pusat data mereka. Sementara protes publik setelah temuan tersebut membuat OnePlus membalikkan arahnya dalam pengumpulan data, insiden tersebut benar-benar memfitnah citra perusahaan yang sangat populer. Nah, hari ini beberapa temuan lagi telah diungkapkan oleh pengembang independen yang memberi tanda tanya lain pada status keamanan perangkat OnePlus. Pengembang yang menggunakan nama “Elliot Alderson” di Twitter mengungkapkan temuannya dalam serangkaian tweet.
Trivia Umum: Elliot Alderson adalah nama tokoh utama Mr. Robot, yang merupakan insinyur perangkat lunak di siang hari, dan seorang peretas main hakim sendiri di malam hari.
Cacat keamanan pada dasarnya telah meninggalkan pintu belakang di setiap perangkat OnePlus yang berjalan pada Oxygen OS termasuk OnePlus 3, 3T, dan 5 . Eksploitasi ini dapat digunakan oleh seseorang untuk mendapatkan akses root ke perangkat Anda. Tweet menjelaskan bahwa OnePlus meninggalkan aplikasi pengujian diagnostik yang dapat dengan mudah dieksploitasi untuk memberikan akses root, yang secara efektif bertindak sebagai pintu belakang. Aplikasi tersebut bernama “EngineerMode” yang digunakan di pabrik selama proses produksi untuk menguji dan memastikan bahwa perangkat berfungsi dengan baik. Namun, aplikasi ini tidak seharusnya ada di dalam perangkat yang dijual ke publik.
<Benang> Hai @OnePlus! Menurut saya APK EngineerMode ini tidak harus dibuat oleh pengguna… 🤦♂️
Aplikasi ini adalah aplikasi sistem yang dibuat oleh @Qualcomm dan disesuaikan oleh @OnePlus. Ini digunakan oleh operator di pabrik untuk menguji perangkat. pic.twitter.com/lCV5euYiO6
— Baptiste Robert (@fs0c131y) 13 November 2017
Meskipun Anda mungkin berpikir ini adalah kabar baik bagi komunitas rooting, sebenarnya tidak, karena pintu belakang memungkinkan rooting perangkat bahkan tanpa membuka kunci bootloader di ponsel, pada dasarnya mengubahnya menjadi eksploit dengan risiko keamanan yang sangat besar. Ini berarti siapa pun dapat membuat aplikasi, yang ketika Anda instal di perangkat Anda, dapat memperoleh akses root ke perangkat Anda dan mengirimkan informasi pribadi dan pribadi Anda ke peretas.
Jadi ya, jika Anda mengirim perintah: adb shell am start -n https://t.co/yYfeX14Ioj.engineeringmode/.qualcomm.DiagEnabled –es “code” “password” dengan kode yang benar Anda bisa menjadi root!
— Baptiste Robert (@fs0c131y) 13 November 2017
Meskipun, kemungkinan seseorang telah menggunakan eksploit ini untuk mendapatkan akses root ke perangkat OnePlus sangat minim, karena eksploit sedang terbuka saat ini, Anda harus menahan diri untuk tidak mengunduh dan menginstal aplikasi teduh apa pun hingga eksploit tersebut ditambal oleh Satu ditambah. Kabar baiknya adalah bahwa CEO OnePlus Carl Pei telah menanggapi di Twitter dan mengatakan bahwa tim OnePlus sedang menyelidiki hal ini, dan oleh karena itu kami berharap tambalan tersebut akan segera dirilis.
https://twitter.com/getpeid/status/930197107255992321