Ужо праз месяц пасля таго, як One Plus быў злоўлены на зборы дадзеных тэлефонаў карыстальнікаў без іх згоды, даследчык бяспекі знайшоў дадатак, якое запісвае розную інфармацыю на ваш тэлефон.
Карыстальнік Twitter з псеўданімам Эліёт Олдэрсан знайшоў прыкладанне з імем OnePlusLogKit прадусталяваная ў прыладзе One Plus, здольнай запісваць мноства дадзеных. Гэта дадатак на сістэмным узроўні, якое можа атрымаць доступ да шырокага спектру інфармацыі такія як часопісы месцазнаходжання Wi-Fi, NFC, Bluetooth і GPS, часопісы сігналаў і дадзеных мадэма, часопісы праблем і харчавання, спіс запушчаных працэсаў, спіс запушчанай службы і стан батарэі, мультымедыйныя базы дадзеных, уключаючы ўсе вашы відэа і выявы захавана на прыладзе.
Па-відаць, OnePlusLogKit адключаны па змаўчанні ў прыладах One Plus, але яго можа ўключыць хакер і атрымаць доступ да інфармацыі. Хакер можа ўключыць яго, набраўшы нумар * # 800 # на мабільным тэлефоне ахвяраў (хакеру неабходны фізічны доступ да мабільнага тэлефона ахвяраў, каб уключыць onePlusLogKit). Пасля яго ўключэння прыкладанне, якое можа счытваць дадзеныя, усталяваныя на вашай прыладзе, можа выдалена збіраць дадзеныя, якія захоўваюцца ў "незашыфраваным у / sdcard / oem_log / папцы".
У асноўным прыкладанне распрацоўваецца вытворцамі для ўліку падзей / мерапрыемстваў для вырашэння любых праблем, звязаных з сістэмай, але сабраная інфармацыя можа быць злоўжывана хакерамі. OnePlusLogKit прадстаўлены ў сакавіку 2015 года на прыладах OxygenOS пасля таго, як кампанія адмовілася ад CynogenOS.
Аднак на тэлефоне ёсць іншыя праграмы, якія збіраюць інфармацыю пра карыстальнікаў без згоды. Той жа Эліёт Олдэрсан выявіў яшчэ адно небяспечнае прыкладанне на One Plus, якое называецца Engineer Mode, якое дае каранёвы доступ да сістэмы пры эксплуатацыі. І можа пагоршыцца, калі зламыснік перавядзе ваш тэлефон у рэжым ADB і падключыць яго да ПК праз USB. Такім чынам, One Plus паабяцаў зняць рэжым Engineer на прыладах One Plus праз абнаўленне праграмнага забеспячэння.
A OnePlus прэс-сакратар выступіў з заявай, што «Хоць ён можа ўключыць корань adb, які прадастаўляе прывілеі для каманд adb, але ён не дазволіць староннім праграмам атрымаць поўны доступ да каранёвых правоў. Акрамя таго, корань adb даступны толькі пры ўключэнні адладкі USB, якая па змаўчанні адключана, і для любога каранёвага доступу ўсё роўна спатрэбіцца фізічны доступ да вашай прылады. "
Qualcomm, вытворца чыпаў SnapDragon які стварыў рэжым Engineer, заявіў, што «Пасля глыбокага расследавання мы вызначылі, што разгляданая праграма EngineerMode не была аўтарам Qualcomm. Хоць рэшткі некаторых зыходных кодаў Qualcomm відавочныя, мы лічым, што іншыя абапіраліся на мінулае, аналагічна названае тэставае прыкладанне Qualcomm, якое было абмежавана адлюстраваннем інфармацыі пра прыладу. EngineerMode больш не падобны на зыходны код, які мы падалі ».
Мала таго, нават за месяц да брытанскага даследчыка бяспекі злавіў One Plus на зборы дадзеных карыстальнікаў праз open.oneplus.net дамена.
Прыйшоўшы ў OnePlusLogKit, вы можаце прадухіліць злоўжыванне тэлефонам, уключыўшы PIN-код блакавання экрана, але не блакаванне шаблону. І не дазваляйце невядомым людзям апрацоўваць ваш тэлефон. Аднак антывірусная праграма ў гэтым выпадку нічога не зробіць.
