Smartphone OnePlus, un'app registra tutto

A poche ore dall’annuncio del OnePlus 5T, il produttore cinese è nuovamente al centro dell’attenzione a causa delle sue “amnesie”. Lo stesso ricercatore che ha scoperto la backdoor nascosta nei dispositivi OnePlus ha ora individuato un’altra pericolosa app in OxygenOS. OnePlusLogKit permette infatti di salvare i log WiFi, Bluetooth, GPS e NFC sulla scheda microSD.

Il ricercatore noto con lo pseudonimo Elliot Alderson (il protagonista principale della serie Mr. Robot) ha sottolineato che questa seconda vulnerabilità è ancora più grave della precedente, in quanto non sono necessari né l’accesso root, né l’uso di ADB. La funzione di logging si attiva semplicemente digitando la stringa *#800# nel dialer. Scegliendo la voce “Get Wireless Log” nell’elenco si accede all’app OnePlusLogKit e alle varie opzioni. In teoria occorre essere fisicamente in possesso dello smartphone, ma si potrebbe usare anche un malware per attivare il logging e inviare i dati ad un server remoto.

L’app in questione, che doveva essere eliminata prima della distribuzione degli smartphone, permette di registrare il traffico WiFi e Bluetooth, le attività NFC, i dati sulla qualità del segnale e la cronologia delle coordinate GPS. È possibile anche ottenere informazioni in tempo reale, come i processi e i servizi in esecuzione. I log vengono salvati sulla scheda microSD in chiaro e qualsiasi app con i permessi di lettura può accedervi.

Il ricercatore ha scoperto infine una funzione che consente di effettuare il dumping del database multimediale, quindi è possibile scaricare foto e video conservati sullo smartphone. L’ennesimo bug di sicurezza potrebbe avere conseguenze sulla credibilità di OnePlus.