OnePlus tiene serios problemas de seguridad
En 2016, la compañía fue descubierta enviando datos como el IMEI de los móviles de sus usuarios a servidores en China sin cifrar. Después, en enero, se descubrió que hacían trampas en los benchmarks del OnePlus 3, lo que se repitió en junio con el OnePlus 5. Este móvil, con la pantalla puesta al revés, impidió llamar durante unas semanas al 911 de emergencias en Estados Unidos, reiniciándose si lo hacías.
Los últimos casos de seguridad más sonados son el de una peligrosa aplicación que incluían los OnePlus, que permitía conseguir permisos de administrador de manera sencilla a un atacante. Por último, hace una semana la compañía anunció un gravísimo hackeo por no tener una web lo suficientemente segura, lo cual hizo que los datos bancarios de más de 40,000 personas acabaran en manos de hackers, los cuales los utilizaron para realizar compras ilícitas.
La aplicación de Portapapeles analiza todo lo que copia el usuario
Ahora, un usuario de Twitter con el pseudónimo de Elliot Alderson (en honor al protagonista de la serie Mr. Robot), y que en realidad es un investigador de seguridad, ha descubierto otro grave caso de espionaje en móviles OnePlus. Esta aplicación, llamada Clipboard (portapapeles) fue introducida en la última beta para el OnePlus 5T.
La app, al parecer, está pendiente de determinadas frases, palabras o datos que se copien en el portapapeles. Entre esta información, como vemos en la siguiente imagen, se encuentran datos como número de serie del móvil, IMEI, dirección IP, número de teléfono, etc.
La aplicación se ejecuta siempre que el usuario copie algún texto en el móvil. La app analiza el contenido copiado para ver si es un email, una dirección, un nombre, o incluso puede detectar si es una tarjeta bancaria. Si lo que detecta entra dentro de la categoría de “información útil del sistema”, esos datos se envían a los servidores de la compañía en China.According to the code @OnePlus is sending your IMEI and the phone manufacturer to a Chinese server owned by teddymobile 😡 pic.twitter.com/Au0u1sdpNi— Elliot Alderson (@fs0c131y) 25 de enero de 2018
El servidor al que se envía es propiedad de Teddy Mobile, una compañía que en el pasado ha trabajado con marcas como OPPO, vivo o Xiaomi. Teddy se dedica a desarrollar una aplicación que permite identificar a usuarios que llaman con número oculto gracias a algoritmos de Big Data, de una manera similar a lo que hace TrueCaller pero para China. Por suerte, esta aplicación no ha llegado a la versión estable de la última ROM de OnePlus, y la compañía probablemente la eliminará antes de que se lance.
El propio Elliot Alderson descubrió recientemente que OnePlus estaba enviando información de los usuarios a un servidor alojado por Alibaba. La compañía se disculpó y afirmó que esa “función” sólo estaba pensada para China, pero se les coló en la versión global.
