One Plus istifadəçilərinin telefon məlumatlarını onların razılığı olmadan toplayarkən tutulduqdan bir ay sonra, bir təhlükəsizlik tədqiqatçısı telefonunuzda müxtəlif məlumatları qeyd edən bir tətbiq tapdı.
Elliot Alderson təxəllüslü bir Twitter istifadəçisi adlı bir tətbiq tapdı OnePlusLogKit ton məlumat yaza bilən One Plus cihazına əvvəlcədən quraşdırılmışdır. Bunu edə bilən bir sistem səviyyəsində bir tətbiqdir geniş bir məlumat əldə etmək Wi-Fi, NFC, Bluetooth və GPS yer qeydləri, Modem siqnalı və məlumat qeydləri, isti və güc problemi qeydləri, işləyən proseslərin siyahısı, işləyən xidmət siyahısı və batareyanın vəziyyəti, bütün video və şəkillər daxil olmaqla media verilənlər bazaları cihazda qeyd edildi.
Göründüyü kimi, OnePlusLogKit, One Plus cihazlarında varsayılan olaraq deaktivdir, lakin bir hacker tərəfindən aktivləşdirilə bilər və məlumatlara giriş əldə edə bilər. Bir hacker yığaraq onu aktivləşdirə bilər 800 # qurbanların mobil telefonunda (bir hacker, onePlusLogKit-i işə salmaq üçün qurbanların mobil cihazına fiziki giriş tələb edir). Aktivləşdirdikdən sonra, cihazınızda quraşdırılmış məlumatları oxuya bilən bir tətbiq “/ sdcard / oem_log / qovluqda şifrələnməmiş” yaddaşda saxlanılan məlumatları uzaqdan toplaya bilər.
Əsasən, tətbiq sistemlə əlaqəli hər hansı bir problemi həll etmək üçün hadisələri / fəaliyyətləri qeyd etmək üçün istehsalçılar tərəfindən hazırlanmışdır, lakin topladığı məlumatlar hakerlər tərəfindən asanlıqla sui-istifadə edilə bilər. OnePlusLogKit, 2015-ci ilin martında şirkətin CynogenOS'u buraxmasından sonra OxygenOS cihazlarında təqdim olunur.
Bununla birlikdə, telefonda istifadəçilərin məlumatlarını razılıq vermədən toplayan digər proqramlar var. Eyni Elliot Alderson, One Plus-da Engineer Mode adlı başqa bir təhlükəli tətbiq kəşf etdi ki, bu da istismar edildikdə sistemə kök girişi təmin edir. Bir təcavüzkarın telefonunuzda AİB rejimində olması və USB ilə PC-yə qoşulması pisləşə bilər. Beləliklə, One Plus, bir proqram yeniləməsi ilə One Plus cihazlarında Mühəndis rejimini silməyi vəd etdi.
A OnePlus sözçüsü “AİB əmrləri üçün imtiyazlar verən adb kökünü aktivləşdirə bilsə də, üçüncü tərəf tətbiqlərin tam kök imtiyazlarına girişinə icazə verməyəcəyinə dair bir açıqlama verdi. Əlavə olaraq, adb kökü yalnız varsayılan olaraq söndürülmüş USB ayıklama aktiv olduqda və hər hansı bir kök girişi yenə də cihazınıza fiziki giriş tələb edərsə əldə edilə bilər. ”
SnapDragon çip istehsalçısı Qualcomm Mühəndis rejimini yaradan “Dərin bir araşdırmadan sonra sözügedən EngineerMode tətbiqinin Qualcomm tərəfindən müəllif olmadığını müəyyən etdik. Bəzi Qualcomm qaynaq kodlarının qalıqları aydın olsa da, digərlərinin cihaz məlumatlarını göstərməklə məhdudlaşan keçmişə bənzər adda Qualcomm test tətbiqinə əsaslandığına inanırıq. EngineerMode artıq təqdim etdiyimiz orijinal kodu xatırladır. ”
Yalnız bu deyil, İngiltərədəki bir təhlükəsizlik tədqiqatçısından bir ay əvvəl də İstifadəçilərin məlumatlarını toplayan One Plus tutuldu bir open.oneplus.net domain.
OnePlusLogKit-ə gəldikdə, Ekran Kilidi PİN-ini təmin etməklə telefonunuzun sui-istifadə edilməsinin qarşısını ala bilərsiniz, lakin Pattern kilidi deyil. Və heç bir naməlum şəxsin telefonunuzu idarə etməsinə icazə verməyin. Ancaq bir antivirus proqramı bu vəziyyətdə heç bir şey etməz.
