One Plus хэрэглэгчдийн утасны датаг тэдний зөвшөөрөлгүйгээр цуглуулж байгаад баригдсанаас хойш нэг сарын дараа аюулгүй байдлын чиглэлээр ажилладаг судлаач таны утсанд янз бүрийн мэдээллийг бүртгэдэг програмыг олжээ.
Эллиот Алдерсон хэмээх нууц нэртэй твиттер хэрэглэгч нэгэн апп олжээ OnePlusLogKit тонн өгөгдлийг бүртгэх чадвартай One Plus төхөөрөмжид урьдчилан суулгасан. Энэ нь боломжтой системийн түвшний програм юм өргөн хүрээний мэдээлэл авах Wi-Fi, NFC, Bluetooth, GPS-ийн байршлын бүртгэл, модемийн дохио, өгөгдлийн бүртгэл, халуун, тэжээлийн асуудлын бүртгэл, ажиллаж байгаа үйл явцын жагсаалт, ажиллаж байгаа үйлчилгээний жагсаалт, батерейны байдал, медиа мэдээллийн сан, үүнд таны бүх видео, зураг төхөөрөмж дээр хадгалсан.
OnePlus төхөөрөмжүүд дээр OnePlusLogKit-ийг анхдагчаар идэвхгүй болгосон бололтой, гэхдээ үүнийг хакер идэвхжүүлж мэдээлэлд нэвтрэх боломжтой. Хакер үүнийг залгах замаар идэвхжүүлж болно * # 800 # хохирогчдын гар утсанд (хакер нь onePlusLogKit-ийг идэвхжүүлэхийн тулд хохирогчдын гар утас руу физик хандалт хийх шаардлагатай). Үүнийг идэвхжүүлсний дараа таны төхөөрөмж дээр суулгасан өгөгдлийг унших боломжтой програм нь "/ sdcard / oem_log / фолдерт шифрлэгдээгүй" хадгалагдсан өгөгдлийг алсаас цуглуулах боломжтой.
Үндсэндээ уг програмыг үйлдвэрлэгчид үйл явдал / үйл ажиллагааг бүртгэж системтэй холбоотой аливаа асуудлыг шийдвэрлэх зорилгоор боловсруулдаг боловч цуглуулсан мэдээллээ хакерууд амархан ашиглаж болно. OnePlusLogKit нь 2015 оны XNUMX-р сард CynogenOS-ийг унасны дараа OxygenOS төхөөрөмжүүдэд нэвтрүүлсэн.
Гэсэн хэдий ч хэрэглэгчдийн мэдээллийг зөвшөөрөлгүйгээр цуглуулдаг бусад програмууд утсан дээр байдаг. Мөнөөх Эллиот Алдерсон One Plus дээр Engineer Mode хэмээх өөр аюултай програмыг нээсэн бөгөөд энэ нь ашиглагдах үед системд root хандах боломжийг олгодог. Хэрэв халдагч таны гар утсыг АХБ-ны горимд байлгаж, USB холболтоор компьютерт холбовол улам дордох болно. Тиймээс One Plus програмыг шинэчлэх замаар One Plus төхөөрөмжүүд дээрх Инженерийн горимыг устгахаа амласан.
A OnePlus Хэвлэлийн төлөөлөгч "Энэ нь adb командуудад давуу эрх олгодог adb root-г идэвхжүүлж болох боловч гуравдагч этгээдийн програмуудад root root эрхүүдэд бүрэн нэвтрэхийг зөвшөөрөхгүй. Нэмж дурдахад adb root нь анхдагчаар унтраалттай байгаа USB дибаг идэвхжсэн тохиолдолд л хандах боломжтой бөгөөд root хандалтын аль ч хэлбэр нь таны төхөөрөмжид физик хандалт шаардагдах болно. ”
SnapDragon чип үйлдвэрлэгч Qualcomm Инженерийн горимыг бий болгосон нь “Нарийвчилсан мөрдөн байцаалтын дараа бид энэ EngineerMode програмыг Qualcomm зохиогдоогүй болохыг тогтоосон. Зарим Qualcomm эх кодын үлдэгдэл нь тодорхой байгаа боловч бусад нь төхөөрөмжийн мэдээллийг харуулахаар хязгаарлагдаж байсан ижил төстэй нэртэй Qualcomm туршилтын програмыг бүтээсэн гэж бид үзэж байна. EngineerMode нь бидний өгсөн анхны кодтой төстэй байхаа больсон. ”
Зөвхөн үүгээр ч зогсохгүй Их Британид байрладаг аюулгүй байдлын судлаачдаас нэг сарын өмнө Хэрэглэгчдийн мэдээллийг цуглуулж байсан One Plus-ийг барьж авав нь дамжуулан open.oneplus.net домэйн.
OnePlusLogKit дээр ирж, та дэлгэцийн түгжээний PIN-ийг идэвхжүүлж, хэвний түгжээг идэвхжүүлээгүй тохиолдолд утсаа буруу ашиглахаас сэргийлж чадна. Таны утсыг үл таних хүмүүс харьцахыг бүү зөвшөөр. Гэсэн хэдий ч вирусын эсрэг програм нь энэ тохиолдолд юу ч хийхгүй.
