Otra app preinstalada en los OnePlus deja expuesto el historial de ubicaciones
Un nuevo agujero de seguridad queda descubierto en los dispositivos de OnePlus. La culpable es otra app preinstalada en sus teléfonos.
15 noviembre, 2017 15:00Más polémica en torno a la firma china OnePlus. Otra app preinstalada en sus dispositivos deja expuesto el historial de ubicaciones de sus usuarios.
Hace no mucho nos hicimos eco de un problema que implicaba directamente a la firma OnePlus. Una app preinstalada en sus dispositivos suponía un agujero de seguridad bastante importante y muy explotable. Y aunque OnePlus ya ha respondido, se suma otro problema más: otra app preinstalada da más problemas.
Concretamente, este fallo provoca que se pueda acceder al historial de ubicaciones del dispositivo. Y rebuscando todavía más, se puede incluso llegar a acceder a todavía más datos si cabe. El error es bastante obvio y el denunciante del primer problema se ha encargado de recordárselo a la empresa china.
OnePlusLogKit, la app preinstalada que deja expuesta tu ubicación
El nombre de la app en cuestión es OnePlusLogKit, una herramienta preinstalada que permite hacerle pruebas de distinta índole a los dispositivos en cuestión. Y ha sido Elliot Anderson, el denunciante de la primera app, el que se ha vuelto a encargar de poner las cartas sobre la mesa con este tweet:
Hi @Oneplus 👋! Remember me? Let’s talk about another debug app you left in your device.
OnePlusLogKit is a system application which allow you to do a multitude of things: get wifi logs, nfc logs, gps logs pic.twitter.com/HvnErm8rXg— Elliot Alderson (@fs0c131y) 15 de noviembre de 2017
En el hilo que ha hecho en Twitter detalla que gracias a esta app podemos acceder al registro de conectividades como el NFC, el Wi-Fi y al que nos atañe hoy, al historial de ubicaciones. Y aunque parezca razonable para los usuarios más avanzados de la plataforma, deja de serlo cuando nos fijamos más detenidamente en su código.
Modificando ligeramente algunas líneas del código, podemos hacer que cada vez que el dispositivo se encienda, genere historiales constantemente. Esto es básicamente un completo mapa de todas tus acciones con tu dispositivo. Y lo peor de todo llega con la facilidad con la que se activa, detallada en uno de los tweets del hilo:
How easy is it to trigger this?
1. Tap *#800# in the dialer
2. Click on «Get Wireless log»
3. Done! You are in the OnePlusLogKit app.You can also send the intent: adb shell am start -n com.oem.oemlogkit/.OneClickLogKitMainActivity
— Elliot Alderson (@fs0c131y) 15 de noviembre de 2017
Si nos vamos al marcador y tecleamos *#800# y nos v amos a «Get Wireless log», ya estaremos en la app de OnePlusLogKit. Y podríamos incluso razonar que estos historiales, al ser tan delicados, están guardados en un sitio oculto en el sistema. Nada más lejos de la realidad.
Dichos registros se guardan en la ruta /sdcard/oem_log/. No hace falta ninguna aplicación o programa especial para acceder a ellos. De hecho, no necesitas ni tener el dispositivo rooteado. Se guarda en la memoria interna como si nada, dejando dicho historial al alcance de todos los que sepan usarlo.
Y se puede hacer mucho con un historial de ubicación. De hecho, el poder hacer que el teléfono genere informes constantes es una grave falla de seguridad e intimidad que de usarse mal, podría acarrear problemas serios al usuario e incluso usarse para cosas que mejor ni imaginar.
OnePlus y la seguridad
No es la primera vez que vemos esta clase de temas salpicar a OnePlus. No hace demasiado supimos que la firma espiaba nuestras llamadas y nuestros datos más básicos e incluso justificándo dichas prácticas.
Independientemente de si uno cree más o menos en que OnePlus pueda estar realizando dichas prácticas, las pruebas están ahí y la empresa debe responder por ello. Porque la privacidad y la seguridad son temas cada vez más fundamentales en un mundo en el que cada vez estamos más expuestos a la realidad informatizada en la que vivimos.