一加(OnePlus)之前被爆出其智能手机有一个严重的安全问题,当时该公司表示会在下一次软件更新中修复。但就在本周,一些粉丝发现这实际上是由于一加公司的疏忽造成的——在过去的几年里,一加手机(包括最近发布的一加5)里面一直携带着一款来自高通的测试程序——“EngineerMode”(工程师模式)。
该应用程序可以在无需解锁bootoader的情况下,就可以获取用户手机的root权限。换句话说,如果让一些不怀好意的人利用这个漏洞成功获得手机的最高权限的话,他们就可以很轻松地在用户的手机当中植入追踪器或其它恶意软件了。
来自一加团队的一名工作人员在一篇论坛文章中解释说:“工程师模式是一款用于工厂生产线上功能测试的诊断工具,也是用来让客服人员为客户提供帮助的。”工作人员同时向用户保证,第三方应用程序无法从工程师模式中获取root权限。而且,一般情况下,手机里的USB调试默认是关闭的,如果要使用工程师模式则必须打开它才行。这也给用户提供了一道防线,以抵御潜在的攻击者。
工作人员还表示:“虽然我们认为这不是一个重大的安全问题,但我们非常理解用户的顾虑。”并解释到将在下一次更新中去除工程师模式中获取root权限的功能。
一加手机在上个月被发现悄悄收集了用户的大量数据,如今再加上这个工程师模式的安全漏洞。对于一加手机的所有用户来说,安全性无疑是他们当前考虑的最大问题。
安全优佳
http://news.secwk.com
长按识别左侧二维码,关注我们
本文始发于微信公众号(安全优佳):一加手机再爆root权限安全漏洞,官方回应:已作出解决方案
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论