Manca davvero poco alla presentazione di OnePlus 5T a Manhattan, ma le notizie che riguardano lo smartphone cinese sono di tutt’altro genere. Uno sviluppatore, infatti, ha scoperto un backdoor rappresentato da una app installata dalla società per testare i dispositivi che ne permette il rooting: EngineerMode – presente su OxygenOS a partire da OnePlus One – abilita l’accesso ai privilegi d’amministrazione dei device attraverso il SDK di Android che può essere installato su Windows, macOS o Linux.
L’azienda ha subito preso in considerazione la segnalazione e ha iniziato a investigare.
La app in questione non è disponibile nella lista delle applicazioni che possono essere disinstallate, perciò occorre che sia direttamente OnePlus a rimuoverla da OxygenOS con un aggiornamento del sistema operativo. I primissimi smartphone con la ROM ufficiale di CyanogenMod non dovrebbero presentare lo stesso problema: EngineerMode è stata introdotta in seguito. Lo sviluppatore che ha identificato il backdoor non esclude di distribuire una app dedicata al rooting del sistema operativo per aiutare gli utenti interessati a modificare a piacimento le caratteristiche della piattaforma.
OxygenOS, Android e il rooting
Per OnePlus è il secondo problema scoperto da un programmatore in poche settimane. Se la questione della privacy è stata prontamente risolta, questo backdoor pone altri interrogativi. CyanogenMod – la ROM con cui erano stati distribuiti i primi smartphone – nacque come fork di Android per sottrarre a Google il monopolio del sistema operativo e fece del rooting una sorta di 'cavallodiTroia'. OxygenOS, mantenendo alcuni dei principi che guidavano lo sviluppo di CyanogenMod, al contrario è una piattaforma gestita internamente dalla società cinese.
OnePlus mantiene un archivio pubblico coi sorgenti del sistema operativo e gli utenti più smaliziati, senza ricorrere al rooting dei dispositivi, possono già installare LineageOS (l’erede di CyanogenMod) al posto di OxygenOS.
Ha ancora senso ottenere i privilegi d’amministrazione — invalidando la garanzia dello smartphone? Il problema, piuttosto, ad oggi riguarda il rischio che dei malintenzionati pubblichino delle app capaci di recuperare i dati sensibili degli utenti attraverso un backdoor come quello appena identificato con EngineerMode e commettano dei reati ai danni del consumatore.