İçindekiler
Popüler akıllı telefon üreticisi Oneplus’ın güvenlik sorunları bitmiyor.
Ürettiği güçlü ve alınabilir cihazlar ile popüler firmalardan birisi olan OnePlus güvenlik açıklarına bir yenisini daha ekledi.Bundan bir ay önce Oneplus, kullanıcıların wifi şifreleri, mac adresleri ve bazı kişisel bilgilerini OxygenOS aracılığıyla elde ederek devasa bir veritabanı oluşturmaktaydı.Firma bu durum açığa çıktıktan sonra bunu kabul edip wifi ve mac bilgilerinin kayıt edilmeyeceğini, diğer bilgilerin ise kullanıcı izni ile toplanacağını belirtmişti.
Yeni güvenlik açığının sebebi Qualcomm EngineerMode
Firma şimdide kullanıcılar tarafından yeni keşfedilen ve OnePlus telefonlarının çoğunun bootloader kilidini kaldırman root erişimi sağlanmasına yarayan Qualcomm tanı uygulaması olan EngineerMode açığı ile karşı karşıya.Twitter üzerinden Elliot Alderson(Mr Robot) isimli bir kullanıcı bu açık sayesinde telefonlar fiziksel müdahaleye gerek kalmadan savunmasız hale geldiğini belirtti. Qualcomm EngineerMode, cihazların üretim bandında herhangibir hataya karşı tanı yapmasını ve satış sonrası çözüm üretimi için kullanılan bir yazılım bu yüzden Elliot Alderson OnePlus’ın kötü niyetli olmadığını fakat bu uygulamanın operatörler ve servisler için erişilebilir olması yani son kullanıcıya sunulmamasını ve bunun yazılım ekibinin yeterince sıkı çalışmadığını gösterdiğini belirtti.
Sistem açığı ile ilgili olarak Oneplus kurucu ortağı Carl Pei, yazılım ekibinin bildirilen sorunla ilgili inceleme başlattığını ve sorunun aşırı yayılması durumunda EngineerMode yazılımını kaldıran bir güncelleme yayınlanacağını belirtti. OnePlus adının sürekli güvenlik açıkları ile anılması firma için zor bir durum oluşturmakta, özellikle iki gün sonra yapılacak olan OnePlus 5T tanıtımını düşünürsek Oneplus’ın daha güvenli cihazlar üretmeye başlaması gerek.
Güncelleme
Firma tarafından yapılan resmi açıklama ise şöyle;
Dün, bizim cihazlarımızda da bulunan Engineer Mode uygulaması hakkında çokça soru aldık ve bu konu hakkında EngineerMode yazılımının üretim hattında cihazları test etmek ve satış sonrası desteğinde kullanılan bir tanı yazılımı olduğunu belirtmek isteriz.
Yazılım geliştiricilerin, bu uygulamanın root erişimi elde etmesinden dolayı duyduğu endişe ile yayınladığı bildirileri görmüş bulunmaktayız. Bu yazılım adb root özelliğini adb komutları için aktif hale getirebilmekte fakat 3. parti uygulamalara root desteği vermemekte. Ayrıca adb root özelliği sadece cihazlarda usb hata ayıklama modu aktifse ki bu mod fabrika çıkışlı olarak kapalı gelmekte ve her türlü root erişimi için fiziksel erişim gerekmektedir.
Bu durumu önemli bir güvenlik açığı görmemekle beraber, kullanıcılarımızın endişeleri olabileceğinin farkındayız ve bir sonraki güncelleme ile adb root özelliğini EngineerMode yazılımından kaldıracağız.