Ce qui a commencé comme une simple méthode de racine est maintenant devenu une porte dérobée dans les appareils ZTE. Il existe une faille dans certains appareils ZTE qui peut donner le root à toute application sachant comment le demander. Pour certains utilisateurs, cela peut paraître cool car cela signifie que root est d'autant plus facile à obtenir, mais il suffit de lire entre les lignes pour se rendre compte des risques encourus.
La porte dérobée permet à n'importe quelle application d'obtenir le root avec un simple mot de passe. Une fois le mot de passe saisi, l'application bénéficie de tous les privilèges root. Cela peut inclure des applications bienveillantes comme Titanium Backup, mais cela peut également inclure des logiciels malveillants. Les spéculations des développeurs qui ont examiné le code soumis, y compris XDA Recognized Developer pingouin minable et développeur reconnu XDA Elite jcase, c'est que ZTE a laissé cela activé par accident en tant qu'outil d'ingénierie et a simplement oublié de le supprimer avant de publier les appareils concernés. D'après shabbypenguin :
le problème est que, comme vous pouvez le voir sur Pastebin, tout ce dont il a besoin est juste un simple mot de passe et le shell rooté est remis... à ce stade À l'heure actuelle, il n'y a aucune preuve que cela puisse être activé, même à distance, mais il s'agit d'un gros problème de sécurité. indépendamment de. à toutes fins utiles, cela pourrait être un outil de débogage laissé dedans, mais cela semble étrangement pratique pour plusieurs versions de logiciel sur des téléphones distincts sur des opérateurs distincts
Naturellement, la nouvelle s’est répandue comme une traînée de poudre et ZTE a promis de corriger ce risque de sécurité géant. Mais d'ici là, le meilleur conseil est de faire très attention à ce que vous téléchargez, car si le le bon logiciel malveillant sait comment exploiter cette faille de sécurité, vous ne pouvez rien faire pour l'arrêter il.
Plus d’informations sur la porte dérobée peuvent être trouvées sur Reddit et Pastebin montrant comment fonctionne l'exploit.