OnePlus, un’app integrata in OxygenOS permette la registrazione delle attività dell’utente

Continua lo “scandalo OnePlus”, che a qualche giorno dall’ultima rivelazione (una backdoor che consente di ottenere i permessi di root su smartphone con estrema facilità) è ancora al centro dell’attenzione per via di un’app “particolare” quanto pericolosa, che permetterebbe il logging dell’attività dell’utente, tra cui i dati relativi all’uso Wi-Fi, NFC, GPS e Bluetooth. Il suo nome è OnePlusLogKit ed è presente nel sistema operativo OxygenOS, con cui i device del celebre brand cinese vengono forniti al pubblico.

La notizia colpisce l’utenza OnePlus a poche ore dal debutto ufficiale di OnePlus 5T, versione “turbo” dell’attuale flagship Android, e la scoperta è ad opera di un hacker, Elliot Alderson (che condivide il suo pseudonimo con il protagonista della serie TV Mr. Robot). OnePlusLogKit sarebbe installata di default su tutti i device e sembra essere una vulnerabilità ancora più problematica di quella già notata, in quanto il root access non è necessario per attivarla. Il logging dei dati verrebbe attivato semplicemente digitando una stringa nel pannello di composizione del numero telefonico (‘#800#’), oppure lanciando l’exploit via malware.

Dopodiché, sarebbe sufficiente scegliere la voce “Get Wireless Log” dall’elenco di funzioni proposte, avviando OnePlusLogKit e permettendo quindi l’accesso alle attività dell’utente, comprese fotografie e file personali. Ogni log così ottenuto verrebbe poi salvato su una scheda microSD, ed è chiaro che una qualsiasi applicazione dotata di accesso alla medesima scheda potrebbe leggere e diffondere i dati ad altri malintenzionati.

Continuano così a piovere accuse contro OnePlus e la gestione della privacy utente, un tema particolarmente spinoso, visti i recenti sviluppi di queste tematiche per i possessori degli smartphone del brand orientale: come commenterà il tutto la casa cinese?

via