نشر باحث أمني فرنسي دليلاً يشير إلى أن تقريباً كل أجهزة ال ون بلس OnePlus تأتي بتطبيق اختبار مصنعي مدمج مسبقاً و الذي يمكن أن يعمل كبوابة خلفية من أجل إعطاء الهاكرز إمكانية الوصول الكامل إلى جهازك .
و قال الباحث روبرت بابتيست Robert Baptiste أن جميع هذه الأجهزة باستثناء أجهزة ون بلس ون OnePlus One الأصلية تملك تطبيقاً يدعى إنجينيير مود Engineer Mode ( وضع المهندس ) يكون مدمجاً مع نظام التشغيل حيث يعمل كأداة اختبار و يمكن أن تستخدم من أجل أشياء مثل فحص الجي بي إس GPS و قطع الهارد وير الأخرى ، و مثل هذه الأنواع من الأدوات شائع و لكن يكون إما معطلاً أو مزالاً من قبل الشركة المطورة و ذلك قبل وصول الهاتف إلى المستخدم .
و على الرغم من أنه لا يمكن الوصول بشكل مباشر إلى تطبيق Engineer Mode ، إلا أنه لن يتطلب إلا برمجية معينة من أجل الوصول إليه و من خلاله يمكن عبر أوامر بسيطة إعطاء المُهاجم صلاحيات الروت ( الجذر ) ليمكنه من الوصول إلى كل شي تقريباً في الجهاز .
و يضيف الباحث Robert Baptiste و هو الذي اكتشف هذه الثغرة ” هذا الأمر ليس جيداً . نظرياً يجب أن يتم إزالة مثل هكذا تطبيقات قبل الإصدار النهائي للجهاز ” و اضاف : ” و لكن هذا الأمر يضيف عملية أخرى في المصنع و بالتالي فإنه يكلف وقتاً و هو غالباً يكون معقداً ، لذلك في بعض الأحيان أو غالباً فإن الشركات تقرر الاحتفاظ بمثل هكذا تطبيقات . و لكنه تعتمد الحماية عبر الإخفاء أو التضليل و هو سلوك شائع” .
لكن لسوء الحظ فإن أجهزة الون بلس OnePlus لم تقم بالتضليل أو الإخفاء لمثل هكذا تطبيقات بشكل مناسب ”
و باعت شركة ون بلس الملايين من الأجهزة الذكية و أغلب هذه الأجهزة مهددة من خلال Engineer Mode .
حيث يمكن لمالكي هذه الأجهزة الذهاب إلى الإعدادات Settings ثم إظهار تطبيقات النظام Show System apps ثم التحقق فيما لو كان برنامج Engineer Mode منصباً أم لا ، في حال كان منصبا قم بحذفه مباشرة .
و رغم أن هذه الأداة تعطي المهاجم سيطرة كاملة على الجهاز إلا أنها تملك تقييدات حقيقية فقد أشار الباحث بابتيست Baptiste و آخرون أن الهجوم باستغلال هذا التطبيق يتطلب وصول فيزيائي إلى الجهاز .
أما فيما يخص الشركة فقد قالت : ” إن تطبيق EngineerMode هو أداة تشخيصية تستخدم بشكل رئيسي في معامل الإنتاج من أجل فحص الوظائف المختلفة ، و في عمليات الدعم و الصيانة بعد البيع ” و أضافت الشركة : ” إن منح أي نوع من صلاحيات الروت يتطلب وصول فيزيائي إلى الجهاز ، و بينما لا نرى أن هذا الأمر يمثل تهديداً أمنياً خطراً إلا أننا نتفهم مخاوف المستخدمين و سوف نعمل على إزالة وظيفة منح الروت من الأداة من خلال تحديث سوفتوير قادم ” .
و بحسب الباحثين فإن هذه المشكلة ليست خطرة حيث قال Tim Strazzereالباحث في مجموعة ريدناجا RedNaga : ” هذه ليست حالة خطرة ، و يمكن حلها بسهولة ” و لكنه اعتبر أن مثل هكذا أمور قد تكون مؤشراً على حالة الأمان و دقة التحكم للشركة .
————————————————–
اقرأ أيضاً :