Μόλις ένα μήνα αφότου το One Plus συνελήφθη να συλλέγει δεδομένα τηλεφώνου χρηστών χωρίς τη συγκατάθεσή τους, ένας ερευνητής ασφαλείας βρήκε μια εφαρμογή που καταγράφει διάφορες πληροφορίες στο τηλέφωνό σας.
Ένας χρήστης του Twitter με το ψευδώνυμο Elliot Alderson βρήκε μια εφαρμογή με το όνομα OnePlusLogKit προεγκατεστημένο στη συσκευή One Plus που μπορεί να καταγράφει τόνους δεδομένων. Είναι μια εφαρμογή σε επίπεδο συστήματος που μπορεί πρόσβαση σε ένα ευρύ φάσμα πληροφοριών όπως αρχεία καταγραφής τοποθεσίας Wi-Fi, NFC, Bluetooth και GPS, αρχεία καταγραφής σήματος και δεδομένων μόντεμ, αρχεία καταγραφής ζητημάτων τροφοδοσίας και τροφοδοσίας, λίστα εκτελούμενων διαδικασιών, λίστα εκτελούμενης υπηρεσίας και κατάστασης μπαταρίας, βάσεις δεδομένων πολυμέσων, συμπεριλαμβανομένων όλων των βίντεο και των εικόνων που έχετε αποθηκεύσει στη συσκευή.
Προφανώς, το OnePlusLogKit είναι απενεργοποιημένο από προεπιλογή στις συσκευές One Plus, αλλά μπορεί να ενεργοποιηθεί από έναν χάκερ και να αποκτήσει πρόσβαση στις πληροφορίες. Ένας χάκερ μπορεί να το ενεργοποιήσει καλώντας * # # 800 στο κινητό των θυμάτων (ένας χάκερ χρειάζεται φυσική πρόσβαση στο κινητό των θυμάτων για να ενεργοποιήσει το onePlusLogKit). Αφού την ενεργοποιήσετε, μια εφαρμογή που μπορεί να διαβάσει δεδομένα που είναι εγκατεστημένα στη συσκευή σας μπορεί να συλλέξει τα δεδομένα που είναι αποθηκευμένα σε "μη κρυπτογραφημένα στο φάκελο /sdcard/oem_log/" εξ αποστάσεως.
Βασικά, η εφαρμογή έχει αναπτυχθεί από τους κατασκευαστές για την καταγραφή των συμβάντων/δραστηριοτήτων για την επίλυση τυχόν προβλημάτων που σχετίζονται με το σύστημα, αλλά οι πληροφορίες που συλλέγει μπορούν εύκολα να χρησιμοποιηθούν κατάχρηση από τους χάκερ. Το OnePlusLogKit παρουσιάζεται τον Μάρτιο του 2015 σε συσκευές OxygenOS αφού η εταιρεία απέσυρε το CynogenOS.
Ωστόσο, υπάρχουν άλλες εφαρμογές στο τηλέφωνο που συλλέγουν πληροφορίες χρηστών χωρίς τη συγκατάθεσή τους. Ο ίδιος Elliot Alderson ανακάλυψε μια άλλη επικίνδυνη εφαρμογή στο One Plus που ονομάζεται Engineer Mode, η οποία δίνει πρόσβαση root στο σύστημα όταν γίνεται εκμετάλλευση. Και θα μπορούσε να χειροτερέψει εάν ένας εισβολέας έχει το τηλέφωνό σας σε λειτουργία ADB και το συνδέσει στον υπολογιστή μέσω USB. Έτσι, η One Plus υποσχέθηκε να καταργήσει τη λειτουργία Engineer στις συσκευές One Plus μέσω μιας ενημέρωσης λογισμικού.
A OnePlus Ο εκπρόσωπος έκανε μια δήλωση ότι «Ενώ μπορεί να ενεργοποιήσει το adb root που παρέχει δικαιώματα για εντολές adb, δεν θα επιτρέπει σε εφαρμογές τρίτων να έχουν πρόσβαση σε πλήρη δικαιώματα root. Επιπλέον, το adb root είναι προσβάσιμο μόνο εάν ο εντοπισμός σφαλμάτων USB, ο οποίος είναι απενεργοποιημένος από προεπιλογή, είναι ενεργοποιημένος και κάθε είδους πρόσβαση root θα εξακολουθεί να απαιτεί φυσική πρόσβαση στη συσκευή σας."
Qualcomm, ο κατασκευαστής τσιπ SnapDragon που δημιούργησε τη λειτουργία Engineer έκανε μια δήλωση ότι «Μετά από μια εις βάθος έρευνα, διαπιστώσαμε ότι η εν λόγω εφαρμογή EngineerMode δεν συντάχθηκε από την Qualcomm. Αν και τα απομεινάρια ορισμένων πηγαίου κώδικα της Qualcomm είναι προφανή, πιστεύουμε ότι άλλοι βασίστηκαν σε μια προηγούμενη εφαρμογή δοκιμής Qualcomm με παρόμοιο όνομα, η οποία περιοριζόταν στην εμφάνιση πληροφοριών συσκευής. Το EngineerMode δεν μοιάζει πλέον με τον αρχικό κώδικα που παρέχαμε."
Όχι μόνο αυτό, ακόμη και ένα μήνα πριν από έναν ερευνητή ασφαλείας με έδρα το Ηνωμένο Βασίλειο συνέλαβε το One Plus να συλλέγει δεδομένα χρηστών μέσω ενός άνοιγμα.oneplus.net τομέα.
Ερχόμενοι στο OnePlusLogKit, μπορείτε να αποτρέψετε την κακή χρήση του τηλεφώνου σας ενεργοποιώντας ένα PIN κλειδώματος οθόνης αλλά όχι ένα κλείδωμα μοτίβου. Και μην αφήνετε κανένα άγνωστο να χειρίζεται το τηλέφωνό σας. Ωστόσο, ένα λογισμικό προστασίας από ιούς δεν θα έκανε τίποτα σε αυτήν την περίπτωση.
