Хакер #305. Многошаговые SQL-инъекции
В начале текущей недели независимый исследователь, известный под псевдонимом Эллиот Алдерсон (имя главного героя в сериале «Мистер Робот»), обнаружил на устройствах компании OnePlus, работающих под управлением OxygenOS, опасное диагностическое приложение EngineerMode, которое может выполнять ряд серьезных диагностических тестов, использоваться для тестирования работы GPS, а также для получения root-доступа к устройству.
Но не успели разработчики OnePlus отреагировать на первую находку исследователя, как он рассказал об обнаружении второго, в теории не менее опасного отладочного приложения, OnePlusLogKit. Это решение предустановленно на смартфонах OnePlus и работает с системными привилегиями. С его помощью можно сделать дамп всех пользовательских фотографий, видео, а также логов NFC, GPS, WiFi, Bluetooth и другой системной телеметрии.
О своей второй находке Эллиот Алдерсон вновь рассказал в серии твитов, которые сопроводил скриншотами. Также исследователь уже опубликовал код приложения на GitHub.
<Thread> Hi @Oneplus ?! Remember me? Let's talk about another debug app you left in your device.
— Elliot Alderson (@fs0c131y) November 15, 2017
OnePlusLogKit is a system application which allow you to do a multitude of things: get wifi logs, nfc logs, gps logs pic.twitter.com/HvnErm8rXg
Исследователь объясняет, что имея доступ к устройству потенциальный атакующий может с легкостью включить ведение всевозможных логов, которые будут сохраняться на SD-карту смартфона. После злоумышленник может забрать накопившиеся данные любым удобным для него способом, в том числе, подключив к делу малварь. При этом активировать OnePlusLogKit можно попросту набрав *#800# на устройстве.
«Здесь даже не нужен root. Файлы логов сохраняются на SD-карту, так что любое приложение с доступом к SD-карте может получить к ним доступ», — рассказывает специалист.
OnePlusLogKit может «протоколировать» трафик Wi-Fi и Bluetooth, активность NFC, координаты GPS, информацию о энергопотреблении, уровне сигнала модема и так далее. Также приложение может использоваться для сбора информации в реальном времени, к примеру, оно поможет просмотреть список всех активных в данный момент процессов, узнать, какие сервисы запущены на устройстве, получить статистику батареи. Стоит сказать, что подобные функции, как правило, используют банковские трояны, которые пристально следят за списком процессов, чтобы заметить, когда пользователь запустит банковское приложение, которое нужно перекрыть фальшивым оверлеем.
Алдерсон полагает, что разработчики умышленно оставляют OnePlusLogKit установленным на устройствах, равно как и в случае EngineerMode. По всей видимости, приложение используется сотрудниками сервисных центров и операторам поддержки. К сожалению, неизвестно, по какой причине инженеры OnePlus считают, что постоянное присутствие OnePlusLogKit на устройстве – это безопасно и правильно, тогда как большинство компаний задействуют и устанавливают подобные инструменты лишь после обращения пользователя в сервисный центр (и удаляют сразу после разрешения возникшей проблемы).
Также замечу, что ранее многие пользователи и специалисты высказывали предположение, что EngineerMode может иметь отношение к компании Qualcomm. Дело в том, что после того как Алдерсон привлек к проблеме всеобщее внимание, приложение EngineerMode на своих устройствах обнаружили пользователи Asus, Motorola, Xiaomi, Lenovo и так далее. К сожалению или к счастью, но теория о причастности Qualcomm не подтвердилась. Представители компании выпустили официальное заявление, в котором сообщили, что не имеют никакого отношения к EngineerMode, хотя приложение действительно содержит элементы исходного кода диагностического инструмента Qualcomm.