OnePlus 3, 3T et 5 : au sujet du root, « ce n’est pas un problème de sécurité majeur » selon OnePlus

Il semble que les smartphones de OnePlus (OnePlus 3, 3T et 5) soient particulièrement faciles à rooter à en croire la découverte faite par un développeur. Une application présente au sein du système permet d’obtenir facilement les droits administrateurs donnant l’accès à toutes les ressources de l’appareil. De plus, cela pose une vrai problème de sécurité et le constructeur va devoir rapidement réagir.

oneplus 3 3T 5 root

Mise à jour du 15/11/2017 : OnePlus répond à la polémique concernant l’application installée permettant un accès root sur ces OnePlus 3, 3T et 5. Nous avons ajouté le message publié par le constructeur sur son forum à la fin de l’article. Une mise à jour pour corriger le problème sera bientôt déployée.

Le constructeur est montré du doigt par un développeur qui partage sa découverte sur XDA. Il est question d’une application “EngineerMode” préinstallée par le constructeur, celle-ci l’aide à tester les terminaux avant qu’ils ne soient commercialisés pour s’assurer de leur bon fonctionnement. Cette dernière bénéficie de privilèges supérieurs afin de pouvoir tester correctement toutes les fonctionnalités du smartphone. En toute logique celle-ci est censée être supprimé avant la commercialisation du terminal où elle est installée. Hors il semble que cela ne soit pas le cas et cela pose un souci de sécurité pour les utilisateurs des OnePlus 3, 3T et 5.

OnePlus 3, 3T et 5 : une application préinstallée permet le root des smartphones

Cela pose un véritable problème pour la sécurité des utilisateurs. On peut imaginer que certains pirates pourraient en profiter pour glisser des malwares facilement, une backdoor (porte dérobée) qui peut faire mal si elle était exploitée de façon malveillante. On imagine que le OnePlus 5T est sans doute aussi concerné par ce problème, il reste encore du temps pour que le constructeur rectifie le tir.

Cette application a été proposée à l’origine par Qualcomm qui est le fournisseur de OnePlus pour ces SoC Snapdragon. Les bidouilleurs de leur côté peuvent y voir une excellente occasion pour rooter leur smartphone sans même avoir à déverrouiller le bootloader de l’appareil. Bien entendu nous ne conseillons pas ce genre de manipulations aux personnes qui se sont pas initiées à la pratique. Si le sujet vous intéresse, nous vous conseillons d’abord de comprendre ce qu’est exactement le root. OnePlus ne va probablement pas tarder à lancer un correctif.

oneplus repond

Voici la traduction des propos de OnePlus :

« Hier, nous avons reçu beaucoup de questions concernant une apk (application) trouvée dans plusieurs terminaux, y compris les nôtres, appelé EngineerMode, et nous aimerions expliquer ce que c’est. EngineerMode est un outil de diagnostic principalement utilisé pour les tests de fonctionnalité des lignes de production en usine et le service après-vente.

Nous avons vu plusieurs déclarations de développeurs qui s’inquiètent parce que cet apk accorde des privilèges root. Bien qu’il puisse activer adb root qui fournit des privilèges pour les commandes adb, il ne permet pas aux applications tierces d’accéder aux privilèges root complets. De plus, adb root n’est accessible que si le débogage USB, qui est désactivé par défaut, est activé, et que tout type d’accès root nécessiterait un accès physique à votre périphérique.

Bien que nous ne voyions pas cela comme un problème de sécurité majeur, nous comprenons que les utilisateurs peuvent encore avoir des inquiétudes et donc nous allons supprimer la fonction root adb d’EngineerMode dans une prochaine OTA. »

 

Réagissez à cet article !
  • au top

    pas de problème sous RR…

  • Pfelelep almost harmless

    Il n’y a plus qu’à les croire, comme pour leur collecte de données personnelles.

    Ou plus simple, éviter cette marque.

    • Kevin

      C’est le but de oneplus de pouvoir rooter les telephone facilement je dirais….

      • Pfelelep almost harmless

        C’est tellement vrai ce que tu dis qu’ils travaillent à corriger ce qu’ils reconnaissent comme un problème.

        • Guillaume Soghonian

          Tu parles de quel « problème » ?

          • Pfelelep almost harmless

            L’élévation de privilège non désirée, à part pour un gars qui voudrait coder un malware, je vois pas pour qui ce ne serait pas un problème.
            Ah, oui, un détail: je ne me contente évidement pas de ce qui en est dit sur ce blog. Tu veux l’URL de XDA?

          • crachoveride

            t’es tu renseigner justement sur XDA avant d’avancer n’importe quoi? https://uploads.disquscdn.com/images/6a01eb4526f903a33fc0207784d6d0b79a3223c17f4b7016e7e31c82ff40868d.jpg

            Et même sur XDA personne ne dit le contraire, après je dit ça..

          • Pfelelep almost harmless

            Pas très lisible. Tu donnes l’URL ?

          • crachoveride

            Une simple recherche de 2 sec t’aurai permis de la trouver mais bref, en voici une du même gars (oui il a fait plusieurs post) https://uploads.disquscdn.com/images/4710a9b8fe30b5d5ab080dae85e7dc5d35fd5b070653c3137f4aa51721128840.jpg https://uploads.disquscdn.com/images/1b19320e88cf7588b6fe2785b0f518948380b43540563df028a6efe6d497ecac.jpg Après faut savoir lire l’anglais ^^ mais en gros c’est marqué que « cet exploit ne permet pas à une application malveillante de s’autoriser un accès root. Par conséquent, à moins que quelqu’un n’ait un accès physique à votre appareil pour configurer ADB, vous êtes à l’abri de l’exploitation »

          • Pfelelep almost harmless

            C’est surtout qu’il y a des centaines d’interventions.
            Et plusieurs PoC qui contredisent celui-ci.

          • crachoveride

            Je n’en ai vue absoluement aucune sur XDA perso, j’ai beau chercher.
            met les screen et url stp.

          • Pfelelep almost harmless

            Y’a pas pire aveugle que celui qui ne veut voir.

            xda oneplus backdoor dans Qwant.

            On trouve aussi un démenti de Qualcomm (sur leur responsabilité), des contournements.

            Cherche Elliot Alderson, il explique comment gagner un accès root en utilisant cette backdoor (selon toi impossible) et dit qu’il a découvert d’autres trucs pas bien glorieux (qu’il ne précise pas jusque là).

          • crachoveride

            Voici également l’URL de mon screen juste au dessus :) https://uploads.disquscdn.com/images/ab029c9f403ac97f3c474d989b808bbf8c4bfc71cf81d7bfe535a6984f3413db.jpg

          • Pfelelep almost harmless

            C’est plus lisible. Je vais aller voir.
            Mais toi, tu vas aller voir ça:
            https://www.chrisdcmoore.co.uk/post/oneplus-analytics/

            Le mec qui a découvert la faille en SEPTEMBRE 2016 a du attendre octobre 2017 et la réponse de OnePlus c’est de la merde: la manip décrite ne désactive qu’une partie (même pas la plus grosse) de la collecte de données.

          • Pfelelep almost harmless

            Bon, en fait, on n’apprend absolument rien dans ta news, c’est du niveau de ce blog. J’aurais du m’en douter au nom du site. T’aurais pas un truc chez le journal du geek ou presse-citron?

            C’est pitoyable comme défense. Quand Volkswagen fait la même chose on les défonce (avec raison).

            Mais surtout, c’est toujours la même marque.

            C’est les mêmes qui ont sorti des cables USB qui ne respectaient pas la norme et qui étaient de fait dangereux.
            Les mêmes qui collectent des données très sensibles sans te prévenir et les envoie en Chine.
            Et finalement une backdoor dont on veut nous faire croire que c’est un accident. Super un accident présent dans la ROM de 3 appareils sortis tous à des dates différents et de 2 générations différents? Ben si tu es prêt à avaler ça, t’es bon pour entrer dans une secte.

            Au même prix qu’un S8, qu’un Xperia XZ Premium…

    • Guillaume Soghonian

      Vu le nombre de marques que tu demandes à éviter, peux-tu m’en citer une utilisant Android où il n’y a aucun problème ?

      • Pfelelep almost harmless

        Où il n’y a pas un problème évident de sécurité? Oui. LG, HTC, Sony, Samsung…
        Les marques que je déconseille sont bien moins nombreuses!

        • Guillaume Soghonian

          Va voir les bugtrackers de ces marques sur les smartphones, tu seras surpris des problèmes listés (peut-être pas au niveau de celle-ci, je le concède)
          Au vu du passé de OnePlus, un correctif devrait être proposé en OTA d’ici quelques jours.

          • Pfelelep almost harmless

            Au vu du passé respectif de toutes ces marques, s’il y en a une est le moins susceptible de corriger le problème, c’est OnePlus.
            Sinon, ça fait un moment que le souci avec OnePlus Analytics aurait été corrigé. Il ne l’est pas.

          • MichelSardou

            Le bon vieux hâter.

          • Pfelelep almost harmless

            Je veux bien des liens vers des infos sur des backdoor installées par HTC, Sony, Samsung, LG…
            Parce que OnePlus, c’est les rois pour ça.

          • Guillaume Soghonian

            Peux-tu me mettre une preuve de ce que tu avances ?
            Tu mélanges tout en faisant des omissions, c’est quasi impossible d’avoir une discussion constructive…

          • Pfelelep almost harmless

            Une preuve vers quoi?
            Les backdoors de OnePlus?

          • Guillaume Soghonian

            Oneplus est assez réactif quand à la correction de bugs en général.
            Que celui qui n’a jamais fait d’erreurs ou d’oublis lui jette la première pierre.
            Oui c’est un oubli de leur part, contrairement au précédent problème de récupération d’infos. Si tu te renseignais sur l’application en question tu verrais que c’est un soft fourni par Qualcomm pour les tests interne.

            A te lire, rien ne va jamais, tout le monde est méchant et personne ne trouve grâce à tes yeux : malheureusement personne n’est parfait et il y aura toujours des soucis.

          • crachoveride

            Captain Obvious ^^

          • Pfelelep almost harmless

            Bah ouais, il faut rappeler des évidences tellement certains ont des œillères.

          • crachoveride

            Je vois surtout que tu balance des trucs sans vérifier un minimum. One plus a déjà communiqué sur la maj corrigeant le OnePlus Analytics depuis … le mois dernier (30/10/2017)… https://uploads.disquscdn.com/images/ad1bfe712a3b6fcf136b41220b3a6102a5ae14088dd6f87f21dc28b4731d2b87.jpg
            Allez je suis gentil je te traduit en gros : Modifié le 30/10/17: Toutes les données collectées sur les versions d’OxygenOS pour lesquelles nous n’avions pas d’invite d’activation dans l’assistant de configuration seront supprimées avant la fin du mois de novembre. (j’ai déjà mis l’url plus haut dans une autre réponse que je t’ai faite juste avant).

          • Pfelelep almost harmless

            Ah oué.
            Les mecs communiquent en octobre 2017 (et sans rien corriger du problème!) à propos d’une faille découverte en septembre 2016, sur un OnePlus2.

            Je ne sais pas par quel miracle tu trouves ça satisfaisant.

          • crachoveride

            Peut être parceque la faille viens juste d’être découverte…
            Ce dont tu parle toi pour le One Plus Analytics de septembre 2016 n’es pas une faille donc je vois pas en quoi il devrait être corrigé.

          • Pfelelep almost harmless

            Alors pourquoi OnePlus prétend avoir corrigé ce qu’ils reconnaissent comme un vrai problème? Et j’insiste bien sur « prétend » puisque leur correctif ne corrige pas le souci?

    • crachoveride

      Ok donc toi dès qu’une faille est trouvé tu recommande de changer de marque ^^
      dans ce cas n’en prend aucune parcequ’elles en ont toutes :D
      Ce qui compte ce n’est pas le nombre de failles mais le temps qui est mis à les résoudre.

      • Pfelelep almost harmless

        On attend la correction sur le 3 et le 3T depuis septembre 2016 pour leur soft qui envoie tes données en Chine.

        • crachoveride

          déjà sortie … il t’arrive de chercher parfois ou comment ça se passe? https://uploads.disquscdn.com/images/1230420b86851d4ace7e069ad6de89356e0ec890ae130ea36eb80f162f689dbb.jpg Surtout que c’est désactivable et quand tu vois le truc, c’est exactement ce que fait déjà Google ^^ Après si tu ne veux pas être espionné faut pas acheter de smartphone c’est tout :)

          • Pfelelep almost harmless

            Sauf que… non. Ca ne désactive pas.
            C’est pas moi qui le dis, c’est Chris Moore, le gars qui a découvert la faille en SEPTEMBRE 2016

          • crachoveride

            Encore une fois en quoi le analytic est une faille? Tu confond tout en fait.

  • Niko82

    C’est un avantage s’il est facile à roter et non l’inverse… Vous cherchez toujours à dénigrer Android c’est dingue.

    • Guillaume Soghonian

      Le souci vient que l’application est par défaut dans la ROM, et que l’utilisation d’une vulnérabilité correctement configurée permettrait de l’activer et d’avoir accès à l’ensemble du mobile.

      • MichelSardou

        Et ? T’as peur pour tes photos à poil ?

        • Pfelelep almost harmless

          OK, passe-moi ton téléphone, je vais me faire un virement pour te montrer…

        • Guillaume Soghonian

          Non, mais plutôt de l’exploitation du téléphone pour d’autres raisons (je vais pas faire un cours sur les malwares sur mobile non plus)

      • Alex

        Sauf que l’exploitation de cette vulnérabilité ne peut ce faire que via adb, autrement dit le hacker doit avoir le téléphone en sa possession.

        • Pfelelep almost harmless

          D’une part, c’est faux, d’autre part piquer ton téléphone est la chose la plus facile à faire au monde.
          Vachement plus facile que tenter de recréer ton empreinte digitale ou une image 3D de ta tronche.

          Mais si tu considères que ce n’est pas grave, file-moi ton OnePlus…

          • Alex

            Argumente ? C’est faux ?

          • Pfelelep almost harmless

            C’est le truc marrant avec les fanboys. Même quand leur idole communique sur le fait que ça constitue un problème, pour eux, non, rien.

          • Alex

            J’tai déjà dit d’apprendre à lire putin, t’es pas serieux..

          • Pfelelep almost harmless

            Bas répète petit perroquet, ça changera rien au fait que tu dis de la merde

          • Alex

            T’aimes pas OnePlus c’est bien mais renseigne toi bordel avant de parler.

          • Pfelelep almost harmless

            Montre-moi où j’ai dit de la merde, petit fanboy.

    • Pfelelep almost harmless

      Oui, c’est toujours un avantage qu’une appli puisse avoir une élévation de privilèges sans que tu le saches…

  • Quand nous cherchons absolument à ouvrir le système, ces sheitans veulent nous faire croire que c’est dangereux.
    MDR….

    • Pfelelep almost harmless

      Si OnePlus voulait ouvrir le système, ils l’auraient dit. Là, c’est un dev qui a trouvé une faille et OnePlus dit qu’ils vont réagir.

      Tu n’as juste rien pigé.

      • Encore un crétin des Alpes.
        Je dis que dans l’absolu ils considèrent le root comme dangereux.
        Ta petite vie doit être triste, que tu provoques instinctivement.
        Haha. Bisou 😘

        • Pfelelep almost harmless

          TU dis. OnePlus dit autre chose.

          Alors c’est évidement toi qui sait ce que veut OnePlus, hein?

      • RocknPizza

        ca veut dire quoi  » Pfelelep  » ?

        • Pfelelep almost harmless

          Demande à Qwant.

  • Adémard Escartefigue

    Qu’est-ce qu’ils ne veulent pas que l’on voie si on root leurs appareils ?

    • Pfelelep almost harmless

      T’as pas tout compris, toi… C’est bien le contraire le problème!

  • Pfelelep almost harmless

    C’est tellement vrai ce que tu dis que même OnePlus reconnait le bordel.

    Ils se sont encore une fois fait prendre la main dans le pot de confiture et utilisent les mêmes prétextes que Volkswagen et le soft de triche à l’homologation!

    • Alex

      En quoi le mode ingenieur est un soft de triche ? Parce que tester l’appareil dans son intégralité avant qu’il soit vendu pose problème ? Je cite XDA « What this means for end users is that you can easily root your OnePlus 3, OnePlus 3T, and OnePlus 5 without ever unlocking your bootloader. This exploit doesn’t allow for a malicious app to grant itself root access, though, so unless someone has physical access to your device to set up ADB, then you’re safe from exploitation. »

      • Pfelelep almost harmless

        Super, tu as lu 2 phrases et tu penses avoir pigé de quoi on cause…

        • Alex

          Oh bah oui et toi tu penses que tu vas créer un malware et le faire fonctionner grâce à cette appli. Bien vu l’artiste.

          • Pfelelep almost harmless

            Moi, non. Je n’ai pas les compétences pour.

            Mais je lis les rapports de gars qui expliquent comment ils ont pris des droits root de façon détournée.

            Et bon, cette marque a un historique suffisamment important pour que sa seule place soit /dev/null.

            C’est un produit qui n’a rien à faire dans une ROM finale. Incompétence ou volonté de triche, c’est pareil pour moi, les conséquences sont les mêmes.

            Les mecs dans ton genre, ça doit gueuler bien fort sur les news à la con genre avec un scan 3D de ta tête je peux tenter de tromper FaceID, sans même piger qu’avec un OnePlus, il faut juste… rien du tout, c’est vérolé de base.

          • Alex

            Si tu sais pas lire l’ami, c’est pas mon problème

          • Pfelelep almost harmless

            Ah.
            Intéressant comme argument.

          • Alex

            C’est difficile de dialoguer avec quelqu’un qui crois avoir toujours raison.

          • Pfelelep almost harmless

            Donne donc un argument.

  • Pfelelep almost harmless

    Ah ben on a le même usage…

    Ce qui me hérisse le plus le poil c’est encore une fois la réaction de OnePlus qui se fait prendre la main dans le pot de confiture. Les mêmes arguments débiles que Volkswagen… « on a oublié de virer les softs de test de la version en prod ». Ouais, prends-nous pour des cons, OnePlus… Soit c’est du mensonge (ce ne serait pas la première fois!), soit c’est de l’incompétence (dont ils ont déjà fait preuve).

    Nan, vraiment, c’est une marque à fuire.

    D’autant que le prix n’est plus du tout un argument.

    • ♌ bRigHt CitY

      Le prix plus un argument ?! Ils sortent des smartphones à un prix qu’il faut 3-6 mois de vie aux Galaxy pour atteindre… C’est encore plus qu’un argument solide le tarif des One+

      • Pfelelep almost harmless

        Mouahahahaha! 500 boules le truc en import pas légal, c’est pas cher.

        Grotesque.

  • Pfelelep almost harmless

    La gamme de prix est la même, entre 450 et 600€.

    • pachirizouuuuh

      Pardon ? T’es resté quelques années en arrière alors…
      Le S8 vaut 800€ à sa sortie, le U11 750 il me semble, le V30 est annoncé à 900e et on parlera même pas de l’iPhone. On trouve de ces modèles dans la gamme de prix du O+ oui aujourd’hui, plusieurs mois après leur sortie du fait de la décote. Mais tu le vois bien, ils ne sont pas du tout sortis dans la même gamme de prix, on est loin des 600€ !

      • Pfelelep almost harmless

        Et?
        On cause du prix où on peut l’acheter (de plus légalement, avec toutes les taxes et la garantie européenne de 2 ans).

        • pachirizouuuuh

          Et donc s’il faut attendre 6 mois pour acheter un produit au même tarif qu’un autre c’est bel et bien qu’il est trop cher ! Tu compares le prix d’un appareil qui est le même depuis sa sortie à celui d’un autre qui a perdu 300e en 6 mois de vie. Ta mauvaise foi est plus qu’évidente…

  • Pfelelep almost harmless

    Tu ne fais que ça.

    A te lire, tu sais mieux que OnePlus la réalité de la situation.

    Tu contredis même la communication de OP.

    Formidable.

  • Pfelelep almost harmless

    Putain t’es formidable, toi!
    Si tu avais lu ce que tu postais tu te serais abstenu!!!

    Mort de rire.

    Encore plus cher que ce que j’annonçais, sans aucune garantie, sans certificat de conformité, par une sombre boutique de Hong Kong.

    Alors qu’un S8, double-SIM, 64Go expédié de France et donc sans souci pour la garantie, la conformité, les taxes, la TVA… c’est de 530 à 570€.

    Nan, t’as raison, continue à nous faire marrer à faire la promo de cette marque à la con.

    • pachirizouuuuh

      Il n’y a que toi que ça choque ici de parler en bien de Oneplus ! Il ne s’agit pas de faire de la pub pour un constructeur chez qui je n’ai jamais acheté mais plutôt d’arrêter de discréditer une marque sur des affirmations sans preuves. Tu n’aimes pas la marque soit, tu n’es pas le seul consommateur au monde rien ne t’empêche d’aller voir ailleurs sans pour autant discréditer la marque aux yeux de ceux à qui elle pourrait convenir.
      Et juste comme ça, le tarif du S8 à la sortie, manque 250-300€. Tu veux comparer des tarifs, prends pas ceux de 6-8 mois après la sortie, surtout pour un modèle qui décote pire qu’une voiture.

      • Pfelelep almost harmless

        Le S8 coute 500€.
        Tu ne sais même pas ce truc à la con et tu veux me parler de crédibilité?

        • pachirizouuuuh

          Quel terme ne comprends-tu pas dans « tarif à la sortie » ?

          • Pfelelep almost harmless

            Et dans hors taxes, c’est quoi que tu piges pas?

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
4e5968742826d8023b98cfe46d21291cRRRRRRRR