Proč už nemůžeme věřit smartphonům (4)

Nová třída bezpečnostních problémů je způsobena výrobci smartphonů, kteří záměrně vytvářejí zranitelnosti, aniž by o tom řekli svým zákazníkům.

Proč už nemůžeme věřit smartphonům (4)


Předchozí díl

Problém „inženýrského režimu“ OnePlus

V průběhu listopadu se zjistilo, že společnost OnePlus dodává zákazníkům telefony s nainstalovanou aplikací, která tato zařízení mohla rootovat.

Této aplikaci se říká „EngineerMode“, tedy inženýrský režim nebo režim pro techniky, a jde o diagnostický software, který bývá často instalován na prototypy nebo předběžné verze telefonů, ale bývá odstraňován (nebo vůbec nebývá instalován) na zařízení, která mají být dodávána veřejnosti.

Aktivovat „EngineerMode“ lze třemi způsoby: příkazem v dialeru, spouštěčem aktivit (activity launcher) v Androidu nebo příkazovým řádkem.

Funkce aplikace, která umožňuje rootovací přístup, je chráněna heslem, ovšem heslem tak špatným, že jej někdo brzy uhodl a sdílel na internetu. Zneužití dané aplikace však vyžaduje fyzický přístup k telefonu.

(OnePlus na požadavek Computerworldu o komentář nereagoval.)

OnePlus v blogovém příspěvku oznámil, že to „nevnímá jako významnou bezpečnostní chybu“, a to kvůli nepravděpodobné kombinaci faktorů, které by musely nastat, aby byla zneužita, ale že ji v rámci chystané softwarové aktualizace odstraní.

EngineerMode je modifikovaná aplikace od Qualcommu a existují určité důkazy o tom, že by ji mohly využívat i jiné telefony, včetně zařízení od firem Asus a Xiaomi.

Ačkoliv je možné, že by výrobce smartphonů mohl dodávat telefon, aniž by přesně věděl, jaký software je na něm nainstalován, zdá se to být nepravděpodobné.

Je pravděpodobnější, že se OnePlus záměrně rozhodl EngineerMode na svých zařízeních zachovat, aby urychlil jejich výrobu – a přeskočil časově náročný proces odinstalace aplikace na každém kusu zvlášť.

Jestliže se ujištění OnePlus, že EngineerMode nepředstavuje „významnou bezpečnostní chybu“, zakládají na pravdě, pak byla instalace softwaru správným krokem. Ale jeho instalace bez explicitního informování uživatelů včetně možností jeho odinstalace bylo krokem špatným.

Pokračování


Úvodní foto: Techspot.com




Komentáře