Más problemas para OnePlus: una app de OxygenOS deja expuesta la ubicación de los usuarios
En menos de una semana, un solo usuario de Twitter se ha convertido en la mayor pesadilla de una de las firmas de éxito en el sector telefónico. El bueno de Elliot Alderson descubría hace solo unos días que una app preinstalada en los teléfonos de OnePlus podía ser utilizada para obtener permisos de root, con los peligros que eso conlleva. Más tarde, la compañía se pronunciaba al respecto, anunciando que se eliminarían los permisos que permitían llevar a cabo este proceso en la aplicación. Hoy, sin embargo, la historia se repite.
El mismo usuario de la red social del pájaro azul, indagando en el código de otra de las aplicaciones preinstaladas en OxygenOS, ha descubierto que cierta información sensible de los usuarios, como su ubicación, quedaría expuesta debido a otra vulnerabilidad no descubierta hasta el momento.
OnePlusLogKit, otra aplicación que pone en peligro la privacidad de los usuarios
A menos de 24 horas de que OnePlus dé a conocer su nuevo teléfono estrella, una nueva polémica pone su foco en la compañía china. Esta vez, la aplicación que ha desatado el caos es OnePlusLogKit, una herramienta que se encarga de recopilar información sobre el funcionamiento de los teléfonos, extrayendo logs sobre diferentes aspectos como la conexión Wi-Fi, el GPS y demás.
Sin embargo, esta aplicación también recopila información más profunda en el sistema, como datos sobre el estado del teléfono, los procesos en ejecución o el nivel de la batería. Hasta aquí todo normal.¿Lo malo? Según ha descubierto este usuario, toda la información recopilada, incluyendo datos sensibles de los usuarios como la ubicación gracias a los parámetros del GPS, queda almacenada en la memoria interna del teléfono sin cifrar.
So if I summarise:
— Elliot Alderson (@fs0c131y) 15 de noviembre de 2017
1. By dialling a number and clicking on a button everybody can record your media, BT logs, Wifi logs, GPS logs,...
2. All this stuff are stored unencrypted in the sdcard
3. Any apps with the READEXTERNALSTORAGE can read these files
Pero hay algo peor que todo esto. Al parecer, con una ligera modificación en el código de la aplicación, es posible que esta app, que normalmente crea historiales varias veces al día, realice este proceso de forma constante, de modo que se crea un registro completo de las acciones del usuario en el sistema, al que cualquier aplicación con el permiso READ_EXTERNAL_STORAGE podría acceder sin mayor problema. Todos aquellos que tengan un teléfono de OnePlus con OxygenOS en sus manos, pueden probar a acceder a los registros que se almacenan automáticamente --y totalmente descifrados-- en la ruta sdcard/oem_log/, si en el marcador de teléfono introducen el código #800#, y posteriormente pulsan sobre "Get Wireless Logs".
La seguridad de los teléfonos OnePlus, de nuevo en entredicho
En poco más de un mes, la compañía con sede en Shenzen ya se ha visto inmersa en polémicas relacionadas con la privacidad --o la falte de ésta-- de sus usuarios. En un primer momento, se descubrió que la firma estaría recopilando datos sensibles de sus usuarios, cosa que poco más tarde OnePlus admitió, y solucionó.
Ahora, con estos dos nuevos casos la reputación de una marca que, aún estando en su mejor momento, habiendo conseguido atraer a millones de usuarios alrededor de todo el mundo, se vuelve a ver resentida.
Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.