Due problemi di sicurezza per OnePlus, tra dump dei dati e root facile

Due problemi di sicurezza per OnePlus, tra dump dei dati e root facile

Scoperti due problemi di sicurezza sugli smartphone OnePlus: l'azienda ha lasciato accesso a due strumenti di sistema che permettono uno di effettuare il dump dei dati e l'altro di ottenere permessi di root

di Riccardo Robecchi pubblicata il , alle 09:21 nel canale Telefonia
OnePlus
 

OnePlus è nuovamente al centro di una controversia circa i dati degli utenti: l'azienda avrebbe infatti lasciato libero accesso a una funzionalità di debug che permette di copiare molto facilmente i dati dell'utente, oltre a lasciare sui dispositivi un'applicazione chiamata EngineerMode che permette di ottenere facilmente i permessi di root.

Nello specifico, un hacker noto con il nome di Elliot Alderson ha svelato come sia possibile accedere all'applicazione OnePlusLogKit semplicemente inserendo un codice nel compositore telefonico. Tale applicazione permette di accedere a tutti i log del telefono, ma non solo: è possibile infatti accedere a tutti i video e le foto sul telefono e farne una copia su una memoria esterna. È anche possibile attivare tale funzionalità tramite una shell di ADB.

Il problema principale sta nel fatto che tutte queste informazioni vengono lasciate senza cifratura alcuna e in un'area di memoria dove qualunque applicazione con il permesso READ_EXTERNAL_STORAGE può leggerle, con potenziali ripercussioni sulla sicurezza e la privatezza.

Il problema non è di gravità estrema, dato che è necessario avere accesso fisico al dispositivo e che questo deve essere sbloccato, ma rimane una falla lasciata aperta da OnePlus. L'azienda ha infatti lasciato a bordo dei dispositivi in mano ai clienti degli strumenti di sviluppo a uso interno, che dovrebbero essere rimossi dal software proprio per il grande potere che hanno sul dispositivo.

È questo il caso anche per l'applicazione EngineerMode, sviluppata inizialmente da Qualcomm e modificata completamente da OnePlus. Come scrive PocketNow, tramite questa applicazione è possibile ottenere accesso di root al dispositivo utilizzando una shell ADB. OnePlus ha attribuito la falla a Qualcomm, ma secondo quest'ultima la vulnerabilità avrebbe origine nelle modifiche di OnePlus.

Come fa notare l'azienda, in ogni caso, questo bug non può essere sfruttato da applicazioni terze per effettuare una scalata di privilegi, pertanto non c'è una minaccia diretta verso la sicurezza dell'utente.

OnePlus ha annunciato che eliminerà l'accesso tramite ADB ad EngineerMode in un prossimo aggiornamento, ma non si è espressa riguardo il dump dei dati.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta pił interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
dark_edo17 Novembre 2017, 09:51 #1
Che problema di sicurezza è se per accedere a quei dati devo avere fisicamente il telefono e questo deve essere sbloccato? Le foto e i video li posso copiare tranquillamente anche senza essere un hacker, o sbaglio?
bonzoxxx17 Novembre 2017, 10:00 #2
non vedo il problema, anche se mi prendono l'OPO è locked e criptato, e alle brutte mi dumpano i video del compleanno
Tedturb017 Novembre 2017, 10:52 #3
Originariamente inviato da: bonzoxxx
non vedo il problema, anche se mi prendono l'OPO è locked e criptato, e alle brutte mi dumpano i video del compleanno


bonzoxxx17 Novembre 2017, 11:01 #4
Ovviamente è grave, ma l'articolo riporta anche:
"Come fa notare l'azienda, in ogni caso, questo bug non può essere sfruttato da applicazioni terze per effettuare una scalata di privilegi, pertanto non c'è una minaccia diretta verso la sicurezza dell'utente."

Quindi è da risolvere al più presto, ma serve che prendano il telefono fisicamente.
Tedturb017 Novembre 2017, 11:20 #5
Originariamente inviato da: bonzoxxx
Ovviamente è grave, ma l'articolo riporta anche:
"Come fa notare l'azienda, in ogni caso, questo bug non può essere sfruttato da applicazioni terze per effettuare una scalata di privilegi, pertanto non c'è una minaccia diretta verso la sicurezza dell'utente."

Quindi è da risolvere al più presto, ma serve che prendano il telefono fisicamente.


Magari vuoi leggerti anche http://punto-informatico.it/4414077...a-oxygenos.aspx
Pero alla fine che ci frega? Al massimo si copieranno i video del compleanno..
bonzoxxx17 Novembre 2017, 11:37 #6
Originariamente inviato da: Tedturb0
Magari vuoi leggerti anche http://punto-informatico.it/4414077...a-oxygenos.aspx
Pero alla fine che ci frega? Al massimo si copieranno i video del compleanno..


Grazie della segnalazione
fraussantin17 Novembre 2017, 14:09 #7
dovrebbe essere di default su tutti i telefoni , così sono a rischio estinzione i leak delle migliori star !!!
matrix8317 Novembre 2017, 16:33 #8
Originariamente inviato da: Tedturb0
Magari vuoi leggerti anche http://punto-informatico.it/4414077...a-oxygenos.aspx
Pero alla fine che ci frega? Al massimo si copieranno i video del compleanno..


Ma è la stessa cosa di questo articolo, nulla di diverso. E poi qualsiasi telefono ha la tipica spunta "Partecipa all'esperienza blabla" anche le google apps. Basta decidere di non inviare i dati.
Tedturb017 Novembre 2017, 17:14 #9
Originariamente inviato da: matrix83
Ma è la stessa cosa di questo articolo, nulla di diverso. E poi qualsiasi telefono ha la tipica spunta "Partecipa all'esperienza blabla" anche le google apps. Basta decidere di non inviare i dati.


Gia, spiegato solo in maniera *leggermente* differente. Chisa se tutti i contenuti sponsorizzati hanno niente a che fare con questo

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^