V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qqjt
V2EX  ›  Android

一加系统中遗留着后门 apk

  •  
  •   qqjt · 2017-11-17 19:31:08 +08:00 via Android · 17078 次点击
    这是一个创建于 2592 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2017-11-17 23:36:06 +08:00
    个人认为 EngineerMode.APK 是一加的无心之失,但确实是可以利用的漏洞,需要及时处理。另外一个 LogKit 有收集用户数据的嫌疑。
    有兴趣的可以翻翻 [@fs0c131y]( https://twitter.com/fs0c131y)
    34 条回复    2017-11-19 12:06:44 +08:00
    zealic
        1
    zealic  
       2017-11-17 19:41:10 +08:00
    所以为什么说电子产品不能用国产的,要么吃相难看,要么那什么黑。
    kanshan
        2
    kanshan  
       2017-11-17 19:42:09 +08:00
    之前不是被曝出过一加手机用户隐私数据 上传电话号码等 一加回复只是为了更好的服务用户
    hand515
        3
    hand515  
       2017-11-17 19:46:23 +08:00
    偏信则暗,兼信则明。大家先听听一加用户的发言
    EricCartman
        4
    EricCartman  
       2017-11-17 19:46:55 +08:00 via Android
    以后还有国产 AI 全面为你服务
    dong3580
        5
    dong3580  
       2017-11-17 19:48:08 +08:00 via Android
    5,找了找,不知道为什么没找到。上次那个事件那个进程也没找到。
    ltux
        7
    ltux  
       2017-11-17 19:49:42 +08:00 via Android
    这玩意儿是高通开发的,其他手机没发现并不代表没有。
    odirus
        8
    odirus  
       2017-11-17 19:54:14 +08:00 via Android
    Minix 系统怎么没人讨论啦?国内国外都在收集隐私,互联网下没有隐私
    roustar31
        9
    roustar31  
       2017-11-17 19:55:53 +08:00
    @ltux Qualcomm, who was believed to be the creator of the EngineerMode APK, also responded to allegations, saying that there are traces of source code from their original app, but the current APK found on devices from various manufacturers has been modified by someone else.
    "After an in-depth investigation, we have determined that the EngineerMode app in question was not authored by Qualcomm," Qualcomm claims.
    "Although remnants of some Qualcomm source code is evident, we believe that others built upon a past, similarly named Qualcomm testing app that was limited to displaying device information. EngineerMode no longer resembles the original code we provided."
    dong3580
        10
    dong3580  
       2017-11-17 19:57:13 +08:00 via Android
    看到同样图标的,全称是 com.android.enginneringmode 么?

    http://m.cnbeta.com/view_670277.htm
    fengleidongxi
        11
    fengleidongxi  
       2017-11-17 20:31:14 +08:00
    相比较,一加是算是比较不错,这些问题相对来说,都不是问题。一加 ROOT 保修、内核开源、能刷 LOS,这还不够吗?自己多分析分析
    weyou
        12
    weyou  
       2017-11-17 20:53:28 +08:00 via Android
    @dong3580 我的 3t 氧 os 能找到 apk 在 /system/app/EngineeringMode 下面,进程倒是没有发现。
    weyou
        13
    weyou  
       2017-11-17 20:57:23 +08:00 via Android
    @dong3580 进程也发现了,com.android.engineringmode.specialt...
    jasontse
        14
    jasontse  
       2017-11-17 21:13:01 +08:00 via iPad
    高通最多告诉你这是他们的工厂测试程序,一加打包正式发布的时候忘记删除了。
    sentanl869
        15
    sentanl869  
       2017-11-17 21:32:44 +08:00
    https://www.xda-developers.com/oneplus-root-access-backdoor/

    'Update: OnePlus has issued an official response to the matter. They will be removing the ADB root function from EngineerMode in an upcoming update.'

    一加官方表示会在今后的更新中移除带有后门的应用。

    'OnePlus has officially responded to the situation. In a blog post, the company reiterates that this exploit can only be utilized if an attacker has physical access to the device and has enabled USB Debugging. In order to enable USB Debugging, the attacker also needs your device ’ s pin/password. Thus, the root backdoor isn ’ t easily exploitable by any app or person, but nevertheless OnePlus will address users ’ concerns by removing this functionality from the EngineerMode app.'

    一加表示这个带有后门的应用只有通过物理访问才会被使用,并且即使被攻击者利用,也会需要设备的 pin 或者密码(谁会设这些东西...)。

    这东西是高通开发的 debug 工具,所以除了一加,其他 OEM 厂商的设备也有同样的风险(已知华硕和小米的部分设备有同样风险)。大体上讲,这又是一个见仁见智的东西...
    mikefy
        16
    mikefy  
       2017-11-17 23:46:38 +08:00 via Android
    @dong3580 给的什么破网页,uc 进去只是下拉的动作,一次广告跳转一次软件下载,最后返回到 v2 各种返回键还失败,只能主页重新进
    flynaj
        17
    flynaj  
       2017-11-18 02:08:06 +08:00 via Android
    这种被发现了就甩锅给高通,为什么小米的手机里面没有这个 APP。
    Zeonjl
        18
    Zeonjl  
       2017-11-18 08:56:45 +08:00
    @EricCartman 菊花牌已经服务很久了
    20015jjw
        19
    20015jjw  
       2017-11-18 09:04:35 +08:00 via Android
    还买国产 怕不是要送命
    HongJay
        20
    HongJay  
       2017-11-18 09:40:04 +08:00   ❤️ 1
    @20015jjw 还在国内。怕不是要送命
    ytpfxnj
        21
    ytpfxnj  
       2017-11-18 10:05:13 +08:00   ❤️ 2
    这更买不买国产没啥关系,世界上没有绝对安全的系统,intel 处理器有后门,你们又怎么说呢?

    曝光越多,越安全,买了一加可以刷机呀?你们用苹果、三星,人家就算有后门你又不知道,只能自我安慰以为一切都在自己的掌控之中。

    手持一加 3T,已刷 LineageOS
    magiclu
        22
    magiclu  
       2017-11-18 10:21:01 +08:00
    @mikefy 你知道 uc 被谷歌下架了吗
    Aquamarine
        23
    Aquamarine  
       2017-11-18 11:40:33 +08:00
    @ytpfxnj 请问下,现在用的是前代 CM13,能平滑刷到 LineageOS 还是需要双清什么的?另,Xposed 框架应该没问题了吧?
    ytpfxnj
        24
    ytpfxnj  
       2017-11-18 12:00:17 +08:00
    @Aquamarine 我没用过 Xposed,是从氢 OS 双清后刷 LineageOS 的。你可以备份数据后试一下(充满电,做好救砖的准备),建议先刷 20171012 版,其它版本可能因为无法绕过开机向导,又连不上谷歌而进不了系统。如果想装最新的系统也可以参考下面的链接。

    https://24dian30.com/life/learn/1368.html
    joneqing
        25
    joneqing  
       2017-11-18 13:04:35 +08:00
    onePlus3 H2os LogKit 这个系统应用没有发现。EngineerMode 这个应用修改系统权限的设置给关了
    pisser
        26
    pisser  
       2017-11-18 13:07:54 +08:00
    安卓这生态始终还是药丸。
    20015jjw
        27
    20015jjw  
       2017-11-18 13:14:21 +08:00 via Android
    @HongJay
    sadaharu09
        28
    sadaharu09  
       2017-11-18 13:23:47 +08:00
    在应用审查方面 Windows Store 可能是唯一可以和 iOS App Store 相抗衡的产品,闭源+统一应用商店。但是很可惜微软不争气。
    Aquamarine
        29
    Aquamarine  
       2017-11-18 13:57:30 +08:00
    @ytpfxnj 不能先进入系统然后再登录 Google 帐号?如果不能,只能在路由上翻了。
    ytpfxnj
        30
    ytpfxnj  
       2017-11-18 14:41:26 +08:00   ❤️ 1
    @Aquamarine 我只测试了 20171012 和 20171019 版,前者可以直接进入系统。后者开机向导如果连不上外网就进不了系统,除非刷机成功后马上在 recovery 把开机向导相关的应用删除。

    理论上在路由器翻墙应该也是可以的。
    tyfulcrum
        31
    tyfulcrum  
       2017-11-18 15:02:01 +08:00
    但凡有点儿技术能力,这类个人设备还是少用国产的,至少刷个干净的 ROM。
    hzw
        32
    hzw  
       2017-11-18 15:18:30 +08:00 via iPhone
    现在手机上运行存储的内容包括个人私照、金融、各网络身份及密码等等重要度极高的信息,安卓这种死抱着政之正确搞开源的做法,玩弄得是用户
    LinkT
        33
    LinkT  
       2017-11-18 17:08:27 +08:00 via Android
    MTK 平台也有这样一个 apk,是做工厂测试用的。
    xsd3169
        34
    xsd3169  
       2017-11-19 12:06:44 +08:00
    惊了。。我抱着我的小黄鸭瑟瑟发抖,以后还是自己开发手机系统自己用吧,,,(逃
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   909 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 22:32 · PVG 06:32 · LAX 14:32 · JFK 17:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.