Un développeur a réussi à avoir accès au mode super-utilisateur de son smartphone OnePlus grâce à quelques commandes et d’une application. Il estime que le constructeur laisse dans ses appareils une porte dérobée.

Il y a un mois, OnePlus était épinglé pour ses mauvaises pratiques en matière de collectes de données. Les téléphones de la marque chinoise transmettaient au constructeur de trop nombreuses informations d’usage comme l’adresse Mac, le numéro d’IMEI etc. Mettant en danger l’anonymat et la confidentialité de ses utilisateurs lors de la transmission de ces données, le constructeur s’était engagé à mettre à jour son logiciel pour cesser ces collectes.

Un accès root dans la nature

En outre, selon un développeur qui expose ses découvertes sur Twitter, le programme découvert précédemment ne serait pas la seule faille du Chinois en matière de confidentialité. Il existerait, selon lui, un programme appelé EngineerMode sur les smartphones qui permet un accès super-utilisateur, dit root, sur les appareils.

En creusant la piste de ce programme, afin d’en comprendre l’utilité, Elliot Alderson a découvert que l’application avait un large accès au système d’exploitation, un accès qu’il serait possible de forcer, telle une porte dérobée. Selon AndroidPolice, EngineerMode est installé sur les OnePlus 3, 3T, et 5 et semble dépendre d’Oxygen OS, la version d’Android modifiée par le constructeur.

L’application serait conçue pour des tests de fonctionnement en usine. Elle peut utiliser le GPS, vérifier le statut root, la mémoire du smartphone et plus. En plus, l’application peut servir à obtenir des droits de super-utilisateur sur les appareils grâce à une commande relativement simple. Il serait logique qu’elle soit absente des smartphones livrés, considérant que son utilité est limitée à des tests de manufacture.

Pour l’internaute, la tâche la plus sophistiquée pour obtenir l’accès root était la découverte du mot de passe choisi par le constructeur. Grâce à l’aide d’experts en sécurité informatique, le développeur a finalement réussi à percer cette dernière barrière et a rooté son téléphone en quelques commandes. Il compte publier une application permettant aux utilisateurs d’obtenir un accès super-utilisateur sans passer par l’habituelle méthode de flash d’un OS alternatif sur la mémoire du téléphone.

Si cette possibilité pourrait intéresser des utilisateurs souhaitant accéder au root, pour la plupart des utilisateurs, cette application et sa porte dérobée restent une faille de sécurité qui peut être utilisée à leur encontre. Carl Pei, tête de proue du constructeur chinois sur les réseaux sociaux a déjà prévenu Alderson que son entreprise investiguerait la faille.

Contactée, la marque ajoute que son équipe produit serait actuellement à la recherche d’une solution.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.