Los móviles OnePlus vienen con una grave vulnerabilidad de fábrica: qué debes hacer
  1. Tecnología
una puerta trasera 'olvidada'

Los móviles OnePlus vienen con una grave vulnerabilidad de fábrica: qué debes hacer

Han descubierto que una de las 'apps' que los desarrolladores preinstalan en los terminales para las pruebas de fábrica dejaría abierta una puerta trasera para los piratas.

Foto: Los móviles OnePlus vienen con una grave vulnerabilidad de fábrica: qué debes hacer
Los móviles OnePlus vienen con una grave vulnerabilidad de fábrica: qué debes hacer

Tras varios días de investigación, un informático ha encontrado un fallo preinstalado en muchos de los modelos de la conocida marca China que ha hecho saltar las alarmas de todos los usuarios de la marca. Y es que, este experto ha descubierto una aplicación preinstalada en los terminales de OnePlus que ofrecería la posibilidad a cualquier 'hacker' con malas intenciones de tener acceso a 'root' en tu terminal sin prácticamente ningún escollo. Una puerta trasera sin vigilancia, perfecta para colarte todo tipo de 'malware' sin ser detectado.

La aplicación en cuestión se llama 'EngineerMode' y en principio está destinada a los desarrolladores de la marca que durante la fabricación de los terminales confirman a través de este atajo que el dispositivo funciona correctamente. Pero lo que parece que la empresa pasó por alto es que al dejar esta 'app' activa, tras el envío al usuario, descuidaban una peligrosa herramienta por la que un pirata podría entrar hasta la cocina sin ser visto, ni parado por las barreras del teléfono.

Foto: El OnePlus 5 ya está aquí: este es el mejor Android chino (aunque imite a Apple)

Lo peor, según cuenta Elliot Alderson, el ingeniero que ha destapado el fallo, es que gracias a la aplicación cualquier experto en ciberseguridad podría rootear tu móvil sin ni siquiera tener que desbloquear el móvil y usando solo unos pocos comandos y averiguando una 'password'. Él mismo publicó en Twitter su prueba para corroborar lo que contaba y mostrar la gravedad de la vulnerabilidad.

De momento, medios especializados como Android Police aseguran que la polémica aplicación estaría instalada en móviles de los modelos OnePlus 3, 3T y 5. Incluso aparecería en el sistema OxygenOS para OnePlus One, pero no en la ROM original de CyanogenOS.

Desde la compañía se ha confirmado el fallo y en un comunicado han asegurado que ya trabajan en una actualización que lo arregle. En el mismo texto también han pedido a sus clientes que estén tranquilos pues las posibilidades de que este 'exploit' haya sido usado por distintos piratas para instalar 'malware' en los terminales es muy bajo. "Aunque no vemos esto como un problema de seguridad importante, entendemos que los usuarios puedan estar preocupados y, por lo tanto, eliminaremos la función root de adb de EngineerMode en una próxima actualización".

Si tienes un terminal OnePlus de alguno de los modelos afectados lo mejor que puedes hacer para evitar cualquier problema, es controlar bien a qué personas le prestas tu dispositivo y estar atento a próximas actualizaciones. Como dicen desde la marca, el riesgo no es demasiado grande pero cualquier vulnerabilidad que ofrezca un acceso a 'root' sin tener que pasar ni siquiera el desbloquéo inicial del móvil es lo suficientemente peligroso como para que debas tener cierto cuidado.

Comunicado de OnePlus

Ayer, recibimos muchas preguntas acerca de un APK encontrado en varios de nuestros dispositivos, llamado EngineerMode, y nos gustaría explicar qué es. EngineerMode es una herramienta de diagnóstico utilizada principalmente para pruebas de funcionalidad en la línea de producción de fábrica y el soporte post-venta.

Hemos visto varias declaraciones de desarrolladores preocupados porque este APK otorga privilegios de administrador. Si bien puede habilitar el 'root', que proporciona privilegios para comandos adb, no permite que aplicaciones de terceros obtengan privilegios completos de root.

Además, la carpeta raiz de adb sólo es accesible si se activa la depuración USB, que está desactivada por defecto, y cualquier tipo de acceso 'root' requeriría acceso físico al dispositivo.

Aunque no vemos esto como un problema de seguridad importante, entendemos que los usuarios pueden tener preocupaciones y, por lo tanto, eliminaremos la función root de adb de EngineerMode en una próxima OTA.

OnePlus Móviles chinos Hackers Malware OnePlus 3 Ciberseguridad
El redactor recomienda