Zatímco sběr dosti podrobných statistik používání telefonu byl vlastností všech dosud uvedených modelů OnePlus, nově objevená zadní vrátka se netýkají první generace OnePlus One.
Všechny ostatní generace mají vestavěnou aplikaci Engineer Mode, jež slouží jako nástroj k diagnostice hardwaru. Aplikace tohoto typu jsou běžné, ale výrobci zařízení je po ukončení testování a před expedicí distributorům ze systému buď zcela odstraní, nebo deaktivují. Jsou totiž bezpečnostní slabinou systému. Odstranění tohoto nástroje pro diagnostiku ovšem představuje krok navíc, který něco stojí, zřejmě proto se výrobce rozhodl jej v systému zachovat.
V případě smartphonů OnePlus sice Engineer Mode není přímo dostupný z rozhraní (tzn. není v seznamu nainstalovaných aplikací), ale jeho přítomnost lze zjistit v menu Nastavení – Systémové aplikace. Skrze Engineer Mode je pak pomocí série jednoduchých příkazů možné provést root a získat tak administrátorská práva.
Engineer Mode je nástroj původně od Qualcommu, jehož čipové sady smartphony OnePlus vlastně bez výjimky používají, obsahující složitým heslem chráněná zadní vrátka.
Útočník by musel mít telefon fyzicky k dispozici
Baptiste dodává, že k získání úplné kontroly nad daným smartphonem by jej musel mít útočník fyzicky k dispozici. Ačkoli tak Engineer Mode může fungovat jako zadní vrátka, tak tento samotný nástroj nedává aplikacím třetích stran privilegovaný přístup k systému, tím jsou vzdálené útoky vlastně vyloučeny.
Populární smartphony šmírují uživatele. Denně odešlou desítky megabytů dat |
Vedení OnePlus se již ke zjištění francouzského vývojáře vyjádřilo. Ve stanovisku uvádí, že je Engineer Mode nástroj ke vzdálené diagnostice hardwaru a slouží především k testování plné funkčnosti smartphonu - v konečném důsledku tak zajišťuje vyšší úroveň zákaznického servisu.
Možné obavy uživatelů se snaží rozptýlit ujištěním, že zneužití administrátorských práv vyžaduje fyzický přístup k danému kusu smartphonu. Přestože tak v tomto nevidí bezpečnostní problém, mají pochopení, že to uživatelé takto vnímat mohou, a v příští systémové aktualizaci bude možnost rootu prostřednictvím Engineer Modu odebrána. Právě lepší uživatelskou podporou OnePlus argumentovalo i v případě odhalení sběru a následného odesílání dat na vzdálené servery.
V každém případě je s podivem, že společnost po nedávném zjištění neautorizovaného sběru a odesílání dat neprovedla důkladnou revizi softwaru a jakákoli z pohledu zranitelnosti slabá místa neodstranila. Nyní bude muset o to více uživatele přesvědčit, že je upravený Android v jejich telefonech skutečně bezpečný.
K případu se posléze vyjádřilo také zastoupení společnosti Qualcomm, od které diagnostický nástroj Engineer Mode původně pochází. Po důkladné analýze zdrojového kódu firma v oficiálním stanovisku uvádí, že aplikace sice nadále nese stopy původního kódu, většina prý byla ovšem přepsána. Není přitom pochyb, že změny provedl právě tým společnosti OnePlus.