Pagkalipas lamang ng isang buwan matapos mahuli ang One Plus na nangongolekta ng mga data ng telepono ng mga gumagamit nang walang pahintulot, natagpuan ng isang mananaliksik sa seguridad ang isang app na nagtatala ng iba't ibang impormasyon sa iyong telepono.
Ang isang gumagamit ng Twitter na may pseudonym na Elliot Alderson ay natagpuan ang isang app na pinangalanan OnePlusLogKit na paunang naka-install sa One Plus na aparato na may kakayahang magrekord ng tone-toneladang data. Ito ay isang application sa antas ng system na maaari i-access ang isang malawak na hanay ng impormasyon tulad ng mga log ng lokasyon ng Wi-Fi, NFC, Bluetooth, at GPS, signal ng Modem at mga tala ng data, mga tala ng isyu ng mainit at kuryente, listahan ng mga tumatakbo na proseso, listahan ng tumatakbo na serbisyo at katayuan ng baterya, mga database ng media, kabilang ang lahat ng iyong mga video at larawan nai-save sa aparato.
Tila, ang OnePlusLogKit ay hindi pinagana bilang default sa mga aparatong One Plus ngunit maaari itong paganahin ng isang hacker at maaaring makakuha ng access sa impormasyon. Maaaring paganahin ito ng isang hacker sa pamamagitan ng pagdayal * # 800 # sa mga biktima na mobile (ang isang hacker ay nangangailangan ng pisikal na pag-access sa mga biktima ng mobile upang paganahin ang onePlusLogKit). Matapos paganahin ito, ang isang app na makakabasa ng naka-install na data sa iyong aparato ay maaaring mangolekta ng data na nakaimbak sa "hindi naka-encrypt sa / sdcard / oem_log / folder" mula sa malayo.
Talaga, ang app ay binuo ng mga paninda upang mai-log ang mga kaganapan / aktibidad upang malutas ang anumang mga problema na nauugnay sa system ngunit ang impormasyong kinokolekta nito ay madaling magamit ng mga hacker. Ang OnePlusLogKit ay ipinakilala noong Marso 2015 sa mga aparatong OxygenOS matapos na mahulog ng kumpanya ang CynogenOS.
Gayunpaman, may iba pang mga app sa telepono na nangongolekta ng impormasyon ng mga gumagamit nang walang pahintulot. Ang parehong Elliot Alderson ay natuklasan ang isa pang mapanganib na app sa One Plus na tinatawag na Engineer Mode na nagbibigay ng root access sa system kapag pinagsamantalahan. At maaaring lumala kung ang isang magsasalakay ay ang iyong telepono sa ADB mode at ikonekta ito sa PC sa pamamagitan ng USB. Kaya, nangako ang One Plus na aalisin ang mode ng Engineer sa mga aparatong One Plus sa pamamagitan ng pag-update ng software.
A OnePlus ang tagapagsalita ay gumawa ng isang pahayag na "Bagaman maaari nitong paganahin ang ugat ng adb na nagbibigay ng mga pribilehiyo para sa mga utos ng adb, hindi nito hahayaang mag-access ang mga 3rd-party na app ng buong mga pribilehiyong ugat. Bukod pa rito, maa-access lamang ang ugat ng adb kung ang pag-debug ng USB, na naka-off bilang default, ay naka-on, at ang anumang uri ng pag-access sa ugat ay mangangailangan pa rin ng pisikal na pag-access sa iyong aparato. ”
Qualcomm, ang tagagawa ng chip ng SnapDragon kung saan nilikha ang mode ng Engineer na gumawa ng isang pahayag na "Pagkatapos ng isang malalim na pagsisiyasat, napagpasyahan namin na ang pinag-uusapan na app ng EngineerMode ay hindi akda ng Qualcomm. Bagaman maliwanag ang mga labi ng ilang source code ng Qualcomm, naniniwala kami na ang iba ay nakabuo sa isang nakaraan, katulad na pinangalanang Qualcomm na pagsubok na app na limitado sa pagpapakita ng impormasyon ng aparato. Ang EngineerMode ay hindi na kahawig ng orihinal na code na ibinigay namin. ”
Hindi lamang ito, kahit isang buwan bago ang isang mananaliksik sa seguridad na nakabase sa UK nahuli ang One Plus nangongolekta ng data ng mga gumagamit sa pamamagitan ng isang open.oneplus.net domain.
Pagdating sa OnePlusLogKit, mapipigilan mo ang iyong telepono mula sa maling paggamit sa pamamagitan ng pagpapagana ng isang Screen Lock PIN ngunit hindi isang Lock ng pattern. At huwag hayaan ang anumang hindi kilalang tao na hawakan ang iyong telepono. Gayunpaman, ang isang antivirus software ay hindi gagawa ng anuman sa kasong ito.
