هواتف OnePlus تحوي ثغرة أمنية مضمنة في النظام

جميع هواتف OnePlus عدا اول جيل تملك "Engineer Mode" والذي يعتبر ثغرة دخول لكل من يصل لهاتفك

نشر باحث أمني فرنسي دليلاً يشير إلى أن تقريباً كل أجهزة ال ون بلس OnePlus تأتي بتطبيق اختبار مصنعي مدمج مسبقاً و الذي يمكن أن يعمل كبوابة خلفية من أجل إعطاء الهاكرز إمكانية الوصول الكامل إلى جهازك .

و قال الباحث روبرت بابتيست Robert Baptiste أن جميع هذه الأجهزة باستثناء أجهزة ون بلس ون OnePlus One الأصلية تملك تطبيقاً يدعى إنجينيير مود Engineer Mode ( وضع المهندس ) يكون مدمجاً مع نظام التشغيل حيث يعمل كأداة اختبار و يمكن أن تستخدم من أجل أشياء مثل فحص الجي بي إس GPS و قطع الهارد وير الأخرى ، و مثل هذه الأنواع من الأدوات شائع و لكن يكون إما معطلاً أو مزالاً من قبل الشركة المطورة و ذلك قبل وصول الهاتف إلى المستخدم .

و على الرغم من أنه لا يمكن الوصول بشكل مباشر إلى تطبيق Engineer Mode ، إلا أنه لن يتطلب إلا برمجية معينة من أجل الوصول إليه و من خلاله يمكن عبر أوامر بسيطة إعطاء المُهاجم صلاحيات الروت ( الجذر ) ليمكنه من الوصول إلى كل شي تقريباً في الجهاز .

و يضيف الباحث Robert Baptiste و هو الذي اكتشف هذه الثغرة ” هذا الأمر ليس جيداً . نظرياً يجب أن يتم إزالة مثل هكذا تطبيقات قبل الإصدار النهائي للجهاز ” و اضاف : ” و لكن هذا الأمر يضيف عملية أخرى في المصنع و بالتالي فإنه يكلف وقتاً و هو غالباً يكون معقداً ، لذلك في بعض الأحيان أو غالباً فإن الشركات تقرر الاحتفاظ بمثل هكذا تطبيقات . و لكنه تعتمد الحماية عبر الإخفاء أو التضليل و هو سلوك شائع” .

لكن لسوء الحظ فإن أجهزة الون بلس OnePlus لم تقم بالتضليل أو الإخفاء لمثل هكذا تطبيقات بشكل مناسب ”

و باعت شركة ون بلس الملايين من الأجهزة الذكية و أغلب هذه الأجهزة مهددة من خلال  Engineer Mode .

حيث يمكن لمالكي هذه الأجهزة الذهاب إلى الإعدادات Settings ثم إظهار تطبيقات النظام Show System apps ثم التحقق فيما لو كان برنامج Engineer Mode منصباً أم لا ، في حال كان منصبا قم بحذفه مباشرة .

و رغم أن هذه الأداة تعطي المهاجم سيطرة كاملة على الجهاز إلا أنها تملك تقييدات حقيقية فقد أشار الباحث بابتيست  Baptiste و آخرون أن الهجوم باستغلال هذا التطبيق يتطلب وصول فيزيائي إلى الجهاز .

أما فيما يخص الشركة فقد قالت : ” إن تطبيق EngineerMode  هو أداة تشخيصية تستخدم بشكل رئيسي في معامل الإنتاج من أجل فحص الوظائف المختلفة ، و في عمليات الدعم و الصيانة بعد البيع ” و أضافت الشركة : ” إن منح أي نوع من صلاحيات الروت يتطلب وصول فيزيائي إلى الجهاز ، و بينما لا نرى أن هذا الأمر يمثل تهديداً أمنياً خطراً إلا أننا نتفهم مخاوف المستخدمين و سوف نعمل على إزالة وظيفة منح الروت من الأداة من خلال تحديث سوفتوير قادم ” .

و بحسب الباحثين فإن هذه المشكلة ليست خطرة حيث قال  Tim Strazzereالباحث  في مجموعة ريدناجا RedNaga : ” هذه ليست حالة خطرة ، و يمكن حلها بسهولة ” و لكنه اعتبر أن مثل هكذا أمور قد تكون مؤشراً على حالة الأمان و دقة التحكم للشركة .

————————————————–

اقرأ أيضاً :

مراجعة هاتف OnePlus 5T الجديد 

تعرف على هاتف OnePlus 5 الهاتف الأفضل بسعر أقل من 500 دولار 

ون بلس تجمع بيانات عن المستخدمين دون موافقتهم

تعليقات
جاري تحميل التعليقات ...