Avoir une application de test permettant un accès root à un terminal, c’est utile en usine. Mais certains constructeurs semblent quelque peu négligents. Ainsi, OnePlus a laissé sur les versions utilisateurs de ses smartphones une application usine. Et le Chinois n’est pas le seul concerné.
OnePlus est une fois de plus dans la tourmente. Le constructeur chinois est pointé du doigt pour avoir laissé ouverte une backdoor sur ses OnePlus 3, 3T et 5. Sur Twitter, un certain (ou une certaine) Elliot Alderson (@fs0c131y : une personne qui a visiblement apprécié la série Mr Robot) explique avoir découvert sur son smartphone une application s’apparentant à une backdoor. Le programme, EngineerMode, est une application usine fournie par Qualcomm. En production, elle permet d’effectuer un certain nombre de tests sur les terminaux.
Rien d’anormal en soi, mais la question légitime que se pose notre mystérieux Elliot Alderson est « que diable cette application fiche-t-elle sur la version utilisateur d’un terminal ? ». Le programme permet toujours d’accéder aux tests manuels, mais aussi à l’intégralité des fonctionnalités du téléphone. Dans la foulée, un étudiant en informatique, Adriano Di Luzio, a publié sur Github une méthode pour rooter sans difficulté un OnePlus en exploitant cette fonction adb root et l’utilitaire Magisk.
OnePlus s’est défendu, expliquant que « EngineerMode est un outil de diagnostic principalement utilisé pour les tests en chaîne de production et le support après-vente ». Il serait donc normal, au nom du support après-vente, que l’application reste présente sur les mobiles après leur sortie d’usine. En outre « adb root est accessible uniquement si le débogage USB, qui est désactivé par défaut, est activé, et n’importe quelle sorte d’accès root requiert ainsi un accès physique à l’appareil ».
Ouverte sur de nombreux terminaux Android
Si le constructeur assure qu’il retirera la fonction adb root d’EngineerMode dans une prochaine mise à jour, c’est avant tout pour répondre aux inquiétudes de ses utilisateurs. « Nous ne voyons pas cela comme une faille de sécurité majeure » ajoute OnePlus. Traduction : « nous ne voyons pas en quoi une backdoor est une faille de sécurité majeure ».
Si OnePlus a été le premier à être pointé du doigt, d’autres « Twittos » se sont rapidement penchés sur leurs propres terminaux mobiles, à la recherche de ladite application. Autant dire que la liste des constructeurs épinglés pour laisser cette application sur leurs modèles commercialisés s’est considérablement rallongée : Google, HTC, Huawei, Lenovo, LG, OPPO, Samsung, Sony ou encore Xiaomi seraient concernés.