Los smartphones de OnePlus tienen el potencial para revelar todo tipo de información privada
El usuario de Twitter @fs0c131y días atrás reveló una importante falla de seguridad en los teléfonos de OnePlus: una aplicación de nombre "Engineer Mode", instalada en colaboración con Qualcomm, que les permitía acceder al root de estos teléfonos siempre que quienes lo intentaran tuviesen acceso físico al dispositivo. Carl Pei, CEO de OnePlus, se pronunció en Twitter y más tarde en un comunicado oficial anunciando que en la próxima actualización esta aplicación podrá desactivarse.
Pero la falla descubierta en esta oportunidad por este mismo usuario puede que tome algo más que una actualización para solucionar y definitivamente merece una exhaustiva explicación de las autoridades de OnePlus, porque de otra forma no se explica por qué sus dispositivos tienen autorización implícita para enviar información privada de los usuarios a servidores de Singapur cada 6 horas.
<Thread> Hi @OnePlus 👋! How are you today? Let's talk about the OPBugReportLite found in your phone.⁰This app is a pre-installed system app which sends silently, every 6 hours, the battery stats, kernel panics, watchdogs, ANRs and all crashes of your device to Singapore.
— Elliot Alderson (@fs0c131y) November 21, 2017
Cada usuario de un smartphone de OnePlus, cualquiera sea su modelo, debería de chequear a través del menú de configuraciones/aplicaciones/aplicaciones del sistema si tiene instalada la aplicación "BugReportLite". ¿Por qué? Esta aplicación autoriza a sus dispositivos a enviar información de distinta índole a servidores privados de OnePlus en Singapur y lo hace implícitamente cada seis horas.
¿Cuántas y cuáles autorizaciones tiene "BugReportLite"? Trece. Trece autorizaciones que van desde estadísticas de uso de la batería, estadísticas de fallas del sistema operativo, hasta contenido multimedia alojado en el smartphone pertinente. Claro, la aplicación se utiliza únicamente para reportar información pertinente a mejorar la calidad del desempeño del dispositivo, pero basta con un comando remoto para que BugReportLite le notifique a los servidores privados información como qué aplicaciones fueron instaladas recientemente, cuántas horas de uso reportan o el contenido multimedia que tenga el usuario confinado para su uso privado.
La denuncia fue publicada por el usuario @fs0c131y y el mensaje fue dirigido a algunos de los más importantes sitios web de noticias tecnológicas móviles, así como también al mismísimo Carl Pei. ¿Respuestas oficiales de OnePlus? A un día de habérseles comunicado la situación, ninguna, pero esperemos que pronto tengan una buena explicación así como una solución para esta tan peligrosa vulnerabilidad.