”Tämän ei pitäisi olla täällä...” – Epämiellyttävä löydös suomalaisten suosikkipuhelimessa

OnePlus-puhelimista löytyi tehdastestaukseen tarkoitettu sovellus, joka voi muodostaa puhelimeen merkittävän tietoturvariskin.

Uutista päivitetty jutun lopussa olevalla tiedolla OnePlusin kommentista.

Suomessakin erittäin suositut OnePlus-puhelimet ovat joutuneet uusien syytösten kohteeksi.

Peitenimellä Elliot Alderson esiintyvä kehittäjä kertoo Twitterissä OnePlus-puhelimissa olevasta ohjelmasta, jota voi käyttää puhelimen haltuunoton mahdollistavana takaovena.

– Hei OnePlus! Mielestäni tämän EngineerMode-sovelluksen ei pitäisi olla täällä lopullisessa versiossa

EngineerMode-niminen sovellus on siruvalmistaja Qualcommin tehdaskäyttöön kehittelemä testiohjelma, jota OnePlus on muokannut edelleen. Sillä on mahdollisuus saada puhelimen pääkäyttäjän oikeudet eli ”rootata” laite. Tämä mahdollistaa puhelimen ohjelmistojen muokkaamisen millä tavalla tahansa.

Asiaa koskeva twiittiketju löytyy artikkelin lopusta. Löydöksestä kertoo myös Android Police.

Ilta-Sanomat Digitoday pystyy vahvistamaan, että sovellus löytyy OnePlus 5:stä. Tässä nimenomaisessa laitteessa oleva sovellus on lähettänyt ja vastaanottanut kuukauden aikana 151 megatavun edestä tietoja.

Sovellus löytyy valitsemalla Asetukset > Sovellukset > oikean yläkulman valikosta Näytä järjestelmä ja etsimällä EngineerMode.

Sovelluksen löytäjä aikoo julkaista aivan lähiaikoina EngineerModea hyödyntävän sovelluksen, jolla kuka tahansa puhelimen käyttäjä voi ottaa puhelimen pääkäyttäjän oikeudet itselleen. Toimenpide on luonteeltaan sellainen, että normaalisti sen tekevät vain puhelintaan erittäin hyvin ymmärtävät käyttäjät.

On epätodennäköistä, että tietoturva-aukkoa on vielä hyödynnetty, eivätkä puhelimen käyttäjät ole suorassa vaarassa. EngineerModen yhdistäminen johonkin toiseen hyväksikäyttömenetelmään voisi kuitenkin olla tuhoisaa.

OnePlus ei ole kommentoinut vielä virallisesti asiaa, vaikka sen perustajiin kuuluva Carl Pei on noteerannut asian Twitterissä. Ilta-Sanomat Digitoday on pyytänyt asiasta kommenttia OnePlusilta.

Kyseessä ei ole ensimmäinen kerta, kun OnePlus joutuu yksityisyyskohun keskelle. Viime kuussa kävi ilmi, että valmistajan keräämistä käyttäjätiedoista on mahdollista tunnistaa yksittäisiä käyttäjiä. Yhtiö vetosi virheeseen ja korjasi käytäntöjään tämän jälkeen.

Tekniikka & Talous -lehti kirjoitti viime viikolla, että suomalaisissa tietoturvayhtiöissä on vahvoja epäilyksiä kiinalaisten Android-puhelimien tietoturvaa kohtaan. Esimerkiksi F-Securella ne on kielletty henkilökunnalta.

Kohun alettua nimettömänä pysytellyt OnePlusin insinööri kertoi yhtiön keskustelupalstalla EngineerModen olevan tehdastestaukseen käytetty ohjelmisto. Hänen mukaansa ulkopuoliset sovellukset eivät kuitenkaan pääse käsiksi pääkäyttäjän oikeuksiin ja ulkopuolisen tunkeutujankin olisi saatava puhelin käsiinsä tähän pystyäkseen.

Yhtiö aikoo poistaa sovelluksen ohjelmistopäivityksellä.

Juttua päivitetty viimeisillä kappaleella 15.11. klo 9.09.