Zaledwie miesiąc po tym, jak One Plus został przyłapany na zbieraniu danych telefonicznych użytkowników bez ich zgody, badacz bezpieczeństwa znalazł aplikację, która zapisuje różne informacje na twoim telefonie.
Użytkownik Twittera o pseudonimie Elliot Alderson znalazł aplikację o nazwie Zestaw OnePlusLogKit preinstalowany w urządzeniu One Plus zdolnym do rejestrowania ton danych. Jest to aplikacja na poziomie systemu, która może dostęp do szerokiego zakresu informacji takie jak dzienniki lokalizacji Wi-Fi, NFC, Bluetooth i GPS, dzienniki sygnału i danych modemu, dzienniki problemów z temperaturą i zasilaniem, lista uruchomionych procesów, lista uruchomionych usług i stan baterii, bazy danych multimediów, w tym wszystkie Twoje filmy i obrazy zapisane na urządzeniu.
Najwyraźniej OnePlusLogKit jest domyślnie wyłączony w urządzeniach One Plus, ale haker może go włączyć i uzyskać dostęp do informacji. Haker może to włączyć, wybierając numer 800 * # # na telefonie ofiary (haker potrzebuje fizycznego dostępu do telefonu ofiary, aby włączyć onePlusLogKit). Po jej włączeniu aplikacja, która może odczytywać dane zainstalowane na Twoim urządzeniu, może zdalnie zbierać dane przechowywane w „nieszyfrowanym folderze /sdcard/oem_log/”.
Zasadniczo aplikacja jest opracowywana przez producentów w celu rejestrowania zdarzeń/działań w celu rozwiązania wszelkich problemów związanych z systemem, ale zbierane przez nią informacje mogą być łatwo wykorzystane przez hakerów. OnePlusLogKit został wprowadzony w marcu 2015 roku na urządzeniach OxygenOS po tym, jak firma porzuciła CynogenOS.
Istnieją jednak inne aplikacje na telefonie, które zbierają informacje o użytkownikach bez zgody. Ten sam Elliot Alderson odkrył inną niebezpieczną aplikację na One Plus o nazwie Tryb Inżyniera, która daje dostęp roota do systemu po wykorzystaniu. A może się pogorszyć, jeśli atakujący ma twój telefon w trybie ADB i łączy go z komputerem przez USB. Tak więc One Plus obiecał usunąć tryb inżyniera na urządzeniach One Plus poprzez aktualizację oprogramowania.
A OnePlus rzecznik wydał oświadczenie, że „Chociaż może włączyć adb root, który zapewnia uprawnienia do poleceń adb, nie pozwoli aplikacjom innych firm na dostęp do pełnych uprawnień roota. Ponadto root adb jest dostępny tylko wtedy, gdy debugowanie USB, które jest domyślnie wyłączone, jest włączone, a każdy rodzaj dostępu root nadal wymagałby fizycznego dostępu do twojego urządzenia.
Qualcomm, producent czipów SnapDragon który stworzył tryb Inżyniera, wydał oświadczenie, że „Po dogłębnym badaniu ustaliliśmy, że omawiana aplikacja EngineerMode nie została stworzona przez firmę Qualcomm. Chociaż pozostałości niektórych kodów źródłowych Qualcomm są oczywiste, uważamy, że inne opierały się na przeszłości, podobnie nazwanej aplikacji testowej Qualcomm, która ograniczała się do wyświetlania informacji o urządzeniu. EngineerMode nie przypomina już dostarczonego przez nas oryginalnego kodu”.
Nie tylko to, nawet miesiąc przed brytyjskim badaczem bezpieczeństwa przyłapany na zbieraniu danych użytkowników przez One Plus przez open.oneplus.net domeny.
Przechodząc do OnePlusLogKit, możesz zapobiec niewłaściwemu użyciu telefonu, włączając kod PIN blokady ekranu, ale nie blokadę wzoru. I nie pozwól, aby nieznane osoby obsługiwały Twój telefon. Jednak oprogramowanie antywirusowe nic by w tym przypadku nie zrobiło.
