一加手机出现安全漏洞 root权限被轻易访问

在一加智能手机上发现了一个特殊的应用程序，在黑客手中，可以允许未经授权的访问整个设备。这个由Qualcomm生产的应用程序被称为EngineerMode，用于在电话出厂时帮助进行测试，故障查找和其他预发布检查。然而，使用一些代码和密码，黑客可能会将EngineerMode视为您的手机的“后门”，使其成为一个致命的安全问题。

该应用程序是在Twitter上由一位移动安全研究人员在一加手机上发现的，他的笔名是Elliot Alderson（也是美国网络黑客系列Robot先生的主角）。在NowSecure的研究人员的协助下，Alderson破解了EngineerMode的密码，证明了它的弱点，相对而言，熟悉应用程序的人和Android的工作人员都可以获得一加手机的root权限。

在一加3，一加 3T和一加 5手机上找到了EngineerMode。自从这个应用程序广为人知后，一加的社区论坛上就出现了这个应用程序。某些在其电话上安装防火墙的业主每天要多次报告请求访问网络的EngineerMode。大多数问题为什么主要用于预发布测试的工具在出售之后仍然存在于设备上。

一加回应恐惧

根据Alderson的Twitter消息，高通公司的工具很可能被许多制造商所使用，而且已经在小米和华硕的智能手机上找到了。但是，你应该担心吗？ EngineerMode是否构成严重的安全风险？

一加已经在社区论坛上发布了一个帖子。 OxygenOS的成员 - 给予OnePlus Android版本的名字 - 写道：

“昨天，我们收到很多关于在几个设备上发现的apk的问题，包括我们自己的，名为EngineerMode，我们想解释它是什么。 EngineerMode是主要用于工厂生产线功能测试和售后支持的诊断工具。

“我们已经看到社区开发者的几个担心，因为这个apk授予root权限。同时，它可以启用为adb命令提供权限的adb root，但不会让第三方应用程序访问完整的root权限。另外，只有在默认情况下关闭的USB调试功能打开的情况下，才能访问adb root，任何类型的根用户访问仍然需要物理访问您的设备。

虽然我们不认为这是一个重大的安全问题，但我们知道用户可能仍然有顾虑，因此我们将在即将到来的OTA中从EngineerMode中移除adb root功能。“

一加不是第一次需要回应安全问题。 10月份，一加设备上发现了一个数据收集程序，该程序声称该程序用于诊断和客户服务需求，但是所有者自动加入该程序。 OxygenOS发生了变化，所以业主可以在安装过程中选择退出数据程序。

一加公司目前正准备推出一加 5T，这是今年早些时候推出的一加 5的升级版本。