Après avoir été épinglé par le hacker « Elliot Anderson » sur la présence d’une application de débogage pouvant servir de porte dérobée, OnePlus s’est incliné. Dans un message posté sur son forum, le fabricant explique qu’il va supprimer dans l’application EngineerMode la fonction qui permet d’accéder aux privilèges root. Une mise à jour sera diffusée prochainement « over the air ». OnePlus estime également que cette faille n’est pas majeure car elle nécessite un accès physique au terminal. Par ailleurs, seule l’application Android Debug Bridge (ADB) pourrait accéder aux privilèges root, pas les applications tierces. Le risque de se faire pirater serait donc faible.
Mais l’affaire ne s’arrête pas là. Le hacker « Elliot Anderson » continue de fouiller dans le système de OnePlus et, surprise, il vient de trouver une autre application de « débogage » assez suspecte. Baptisée « OnePlusLogKit », elle permet de collecter tout un tas de données sur le téléphone : positions GPS, connexions Bluetooth/NFC, connexion Wi-Fi, problèmes de charge, problèmes de performance, etc. Elle peut même copier les fichiers multimédia, grâce à la fonction « GrabOtherActivity ». Toutes ces données sont alors stockées dans le répertoire « /sdcard/oem_log » sous forme non chiffrée.
<Thread> Hi @Oneplus 👋! Remember me? Let's talk about another debug app you left in your device.
OnePlusLogKit is a system application which allow you to do a multitude of things: get wifi logs, nfc logs, gps logs pic.twitter.com/HvnErm8rXg— Baptiste Robert (@fs0c131y) November 15, 2017
Pour activer cette récolte de données, c’est assez simple. Il suffit de composer « *#800# » pour accéder directement à l’application OnePlusLogKit. Il faut ensuite sélectionner l’option de collecte souhaitée. Selon le hacker, les données collectées seraient accessibles à n’importe quelle appli installée sur le téléphone. Nous avons pu confirmer l’existence de OnePlusLogKit sur un OnePlus 5.
La bonne nouvelle, c’est que cette collecte est désactivée par défaut dans le téléphone. Toutefois, selon Elliot Anderson, « n’importe quelle application système peut l’activer, et des applications système OnePlus, il y en a beaucoup ». Bref, s’il n’y a pas péril en la demeure, on peut quand même se demander pourquoi une telle application est installée sur le téléphone. S’il s’agit d’un logiciel de débogage en phase de développement, OnePlus n’aurait pas dû la laisser dans la version commerciale. Ce qui laisse supposer que le processus de production est un peu désordonné. Autre hypothèse : cette application est là car OnePlus souhaite pouvoir l’activer de temps en temps. Ce qui ne serait pas très éthique.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.