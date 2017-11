OnePlus è nuovamente al centro di una controversia circa i dati degli utenti: l'azienda avrebbe infatti lasciato libero accesso a una funzionalità di debug che permette di copiare molto facilmente i dati dell'utente, oltre a lasciare sui dispositivi un'applicazione chiamata EngineerMode che permette di ottenere facilmente i permessi di root.

Nello specifico, un hacker noto con il nome di Elliot Alderson ha svelato come sia possibile accedere all'applicazione OnePlusLogKit semplicemente inserendo un codice nel compositore telefonico. Tale applicazione permette di accedere a tutti i log del telefono, ma non solo: è possibile infatti accedere a tutti i video e le foto sul telefono e farne una copia su una memoria esterna. È anche possibile attivare tale funzionalità tramite una shell di ADB.

This GrabOtherActivity is capable of dumping the media databases aka all your videos, images pic.twitter.com/8C5uS87ePC — Elliot Alderson (@fs0c131y) November 15, 2017

Il problema principale sta nel fatto che tutte queste informazioni vengono lasciate senza cifratura alcuna e in un'area di memoria dove qualunque applicazione con il permesso READ_EXTERNAL_STORAGE può leggerle, con potenziali ripercussioni sulla sicurezza e la privatezza.

Il problema non è di gravità estrema, dato che è necessario avere accesso fisico al dispositivo e che questo deve essere sbloccato, ma rimane una falla lasciata aperta da OnePlus. L'azienda ha infatti lasciato a bordo dei dispositivi in mano ai clienti degli strumenti di sviluppo a uso interno, che dovrebbero essere rimossi dal software proprio per il grande potere che hanno sul dispositivo.

È questo il caso anche per l'applicazione EngineerMode, sviluppata inizialmente da Qualcomm e modificata completamente da OnePlus. Come scrive PocketNow, tramite questa applicazione è possibile ottenere accesso di root al dispositivo utilizzando una shell ADB. OnePlus ha attribuito la falla a Qualcomm, ma secondo quest'ultima la vulnerabilità avrebbe origine nelle modifiche di OnePlus.

Come fa notare l'azienda, in ogni caso, questo bug non può essere sfruttato da applicazioni terze per effettuare una scalata di privilegi, pertanto non c'è una minaccia diretta verso la sicurezza dell'utente.

OnePlus ha annunciato che eliminerà l'accesso tramite ADB ad EngineerMode in un prossimo aggiornamento, ma non si è espressa riguardo il dump dei dati.