OnePlus Update: Ist der FactoryMode wirklich eine Malware?

OnePlus hat mal wieder Negativ-Schlagzeilen
Foto: OnePlus, Grafik/Montage: teltarif.de Noch vor dem neuen Flaggschiff-Modell OnePlus 5T hat der Hersteller für Besitzer des OnePlus 3 und OnePlus 3T ein Update auf das neue OxygenOS 5 verteilt. Seit wenigen Tagen steht das erste kleinere Mini-Update für OxygenOS 5 zum Download bereit, welches allerdings von Googles Malware-Scanner als potenzielle Bedrohung erkannt wird. Aber ist der FactoryMode tatsächlich so gefährlich?

Entdeckt haben die Meldung diverse Nutzer, die sich bei reddit und auch in den OnePlus-eigenen Foren darüber ausgelassen haben. Konkret wird die System-App FactoryMode als Malware klassifiziert, die über Code verfügt, der die Sicherheits­mechanismen von Android umgehen kann.

Der FactoryMode selbst ist als Ersatz der zuvor stark kritisierten System-App EngineeringMode gedacht, scheint aber zumindest aktuell die Hoffnungen nicht ganz erfüllen zu können.

Ist der FactoryMode eine Malware, ja oder nein

OnePlus hat mal wieder Negativ-Schlagzeilen
Foto: OnePlus, Grafik/Montage: teltarif.de Ganz so einfach ist die Sache bei etwas genauerer Betrachtung allerdings doch nicht. Zum einen ist die Angabe von Google Play Protect etwas sehr generisch, dass die beanstandete App die Sicherheits­maßnahmen von Android umgehen kann. Zum Beispiel nennen die XDA Developers als anschaulichen Vergleich die App ViPER4Android, bei der Googles Malware-Scanner angeschlagen hatte. Besagte App ist ein modifizierter Audio­treiber für Android, der zur erheblich besseren Manipulation der Audio-Eigenschaften eines Android-Gerätes verhilft. Dessen Steuer-App beinhaltet Code-Schnipsel, die etwas mit dem Ändern des SELinux-Status zu tun haben - zuständig für die Umsetzung von Sicherheits­richtlinien unter Android - was für Google Play Protect ebenfalls eine Meldung als Malware "wert war".

Im Endeffekt war die Meldung im Falle von Viper4Android also harmlos und genau so könnte es sich auch bei der FactoryMode-App von OnePlus verhalten. Die Entwicklungs­abteilung des Unternehmens muss irgendwelche Routinen eingebaut haben, die von Google Play Protect als schädlich klassifiziert werden, es am Ende aber nicht sind. Denn genau so geht Google Play Protect vor: Scannen einer App nach bekannten Code-Mustern, die in der Google-Play-Datenbank als potenziell gefährlich hinterlegt sind.

Heiße Luft um nichts?

Im Prinzip könnte man die Meldung ignorieren, da eine System-App ohnehin nicht so einfach zu entfernen ist. Es werden zwar einige Wege beschrieben, wie sich die App mittels ADB-Kommandos deaktivieren lässt, unerfahrene Nutzer sollten trotzdem die Finger davon lassen. Den Nutzer­kommentaren unter dem Artikel der XDA Developers nach zu urteilen, spielt die App FactoryMode eine nicht unwesentliche Rolle, wenn das Android-Smartphone auf den Werks­zustand zurückgesetzt werden soll.

Trotzdem sollte immer eine gewisse Skepsis angebracht sein, sobald der Sicherheits­mechanismus von Google auf eine App anspringt. Im äußersten Fall kann Google über eine eingebaute Funktion schadhafte Apps aus der Ferne zwangsweise deinstallieren lassen. Schließlich erscheint eine solche Meldung nicht ganz ohne Grund, auch wenn Google Play Protect alles andere als hundertprozentige Sicherheit bieten kann. Prinzipiell kann auch die zugrunde liegende Datenbank gehackt werden, um an sich harmlose Apps als gefährlich einzustufen und gefährliche Apps als ungefährlich.

Nach aktuellen Kenntnissen soll die Verteilung des OxygenOS-Updates auf Version 5.0.1 ab dem 3. Januar fortgesetzt werden, dann aber mit einer behobenen Variante des FactoryMode, die nicht mehr von Google Play Protect als potenzielle Bedrohung erkannt werden soll.