वनप्लस रूट 'बैकडोर': यह क्या है, यह क्या नहीं है, और आपको क्या जानने की जरूरत है [अद्यतन]

आपने ऐसा सुना होगा वनप्लस ने "बैकडोर" छोड़ा में वनप्लस 3, को वनप्लस 3T, तथा वनप्लस 5 जिसे बूटलोडर को अनलॉक किए बिना फोन को रूट करने के लिए इस्तेमाल किया जा सकता है। यदि आप उस व्यक्ति के प्रकार हैं जो सोचते हैं कि यह बहुत अच्छी खबर है, तो आप पहले से ही जानते हैं कि निर्देशों और डाउनलोड के लिए स्वयं के साथ खेलने के लिए कहाँ देखना है। लेकिन अगर आप इस तरह की चीजों में नहीं हैं, तो आपके पास शायद कुछ सवाल हैं, खासकर अगर आपके पास वनप्लस फोन है। साथ ही आपको चाहिए, क्योंकि एक अच्छा मौका है कि आपके पास आपकी बहुत सी निजी जानकारी आपके फोन पर संग्रहीत है और आप इसे बहुत निजी रखना चाहेंगे।

तो चलिए इसके बारे में बात करते हैं कि यह हम क्या देख रहे हैं और आपको इसके बारे में जानने की जरूरत है।

अपडेट करें:वनप्लस ने जवाब दिया है इसके आधिकारिक मंचों में दावों के लिए:

कल, हमें कई उपकरणों में पाए जाने वाले एक एपीके के बारे में बहुत सारे सवाल मिले, जिसमें हमारा अपना नाम, EngineerMode भी शामिल है, और हम यह बताना चाहेंगे कि यह क्या है। EngineerMode एक नैदानिक ​​उपकरण है जो मुख्य रूप से कारखाने के उत्पादन लाइन कार्यक्षमता परीक्षण और बिक्री समर्थन के बाद उपयोग किया जाता है।

instagram viewer

हमने सामुदायिक डेवलपर्स के कई कथन देखे हैं जो चिंतित हैं क्योंकि यह एपीके रूट विशेषाधिकार प्रदान करता है। हालांकि, यह adb root को सक्षम कर सकता है जो adb कमांड के लिए विशेषाधिकार प्रदान करता है, यह 3-पार्टी ऐप्स को पूर्ण रूट विशेषाधिकारों तक पहुँचने की अनुमति नहीं देगा। इसके अतिरिक्त, अगर USB डिबगिंग, जो डिफ़ॉल्ट रूप से बंद है, तो adb रूट केवल पहुंच योग्य है, चालू है, और किसी भी प्रकार की रूट एक्सेस को अभी भी आपके डिवाइस तक भौतिक पहुंच की आवश्यकता होगी।

हालांकि हम इसे एक प्रमुख सुरक्षा समस्या के रूप में नहीं देखते हैं, हम समझते हैं कि उपयोगकर्ताओं को अभी भी चिंता हो सकती है और इसलिए हम आगामी OTA में EngineerMode से adb रूट फ़ंक्शन को हटा देंगे।

पीछे का दरवाजा'

Backdoor एक शानदार विवरण है जो चल रहा है क्योंकि वास्तव में यही हो रहा है। प्रभावित वनप्लस फोन पर एक सॉफ्टवेयर का एक टुकड़ा है जिसका इस्तेमाल सिस्टम पर नियंत्रण हासिल करने के लिए किया जा सकता है। लेकिन फोन के बिक्री के लिए जाने के बाद इसका वहां होना कभी नहीं था।

हां, कुछ वनप्लस फोन पर एक ऐप है जिसमें एक एडमिन फ़ंक्शन है। और यह वहाँ नहीं होना चाहिए।

प्रश्न में एप्लिकेशन शुरू से आता है क्वालकॉम, जो सभी वनप्लस फोन के लिए SoC बनाता है। यह एक विशेष ऐप है (हाँ, यह मूल रूप से सिर्फ एक ऐप है) क्वालकॉम द्वारा प्रदान किया गया है जो एक कंपनी है जो फोन बनाती है क्वालकॉम हार्डवेयर का उपयोग करने के दौरान उस क्वालकॉम हार्डवेयर की सुविधाओं और कार्यों का परीक्षण करने के लिए उपयोग कर सकते हैं विकास।

क्वालकॉम हर कंपनी को इस प्रकार का ऐप प्रदान करता है जो अपना हार्डवेयर खरीदता है, हालाँकि यह चिपसेट संस्करण के अनुरूप है, इसलिए यह फोन से फोन पर भिन्न हो सकता है। आम तौर पर, इसे तब हटा दिया जाता है जब अंतिम शिपिंग सॉफ्टवेयर बनाया जाता है और खुदरा फोन पर फ्लैश किया जाता है, लेकिन कभी-कभी यह भूल जाता है और पीछे रह जाता है। यहाँ वही हुआ, और इलियट एल्डरसन के नाम से एक साथी ने इसे वनप्लस डिवाइस में पाया।

स्वगत कथन के रूप में, यह भी पाया गया है ASUS Zenfones में से एक में, एक MIUI ROM के अंदर, Redmi 3S और में OnePlus 5T यह आधिकारिक तौर पर मौजूद नहीं है, लेकिन हर कोई जानता है कि कम से कम कुछ लोगों को दिखाया गया है। इसलिए इसे रिटेल फोन पर देखना बिल्कुल अनसुना नहीं है।

एंड्रॉइड ऐप जिप फाइल की तरह है

आप यह पहले से ही जानते होंगे, लेकिन एक एंड्रॉइड .apk फ़ाइल एक संपीड़ित फ़ोल्डर है और इसके साथ खोला जा सकता है एक प्रोग्राम जैसे 7 ज़िप, या यहाँ तक कि फ़ाइल एक्सटेंशन को .zip में बदलकर और एक नियमित फ़ाइल का उपयोग करके ब्राउज़र। एल्डरसन ने अपने द्वारा पाए गए इंजीनियरिंग ऐप के लिए बस इतना ही किया, और इस ऐप को कुछ संकलित बाइटेकोड सहित घटकों तक पहुंच प्रदान की - जिस तरह से डिकंपाइल करना बहुत आसान है। और उसने यही किया।

कुछ उपकरण और आंखों की सही जोड़ी यह सब देखने के लिए ले जाता है कि कैसे सबसे Android एप्लिकेशन काम करते हैं।

उन्हें ऐप के कुछ फ़ंक्शंस मिले जो सुरक्षा के दृष्टिकोण से दिलचस्प थे। एक विशेष रूप से जो एंड्रॉइड डीबग ब्रिज के माध्यम से एक उपयोगकर्ता व्यवस्थापक विशेषाधिकार (रूट) देगा। आपको यहां एप्लिकेशन का विघटित स्रोत मिलेगा, लेकिन जिस विधि से सभी उपद्रव हो रहे हैं उसे "एस्केलेटेड" के रूप में लेबल किया गया है और आप इसे सही या गलत कहकर इसका उपयोग करते हैं, फिर एक पासवर्ड प्रदान करते हैं।

यदि आप विधि को कॉल करते समय पासवर्ड के लिए सही स्ट्रिंग प्रदान कर सकते हैं, तो यह सिस्टम गुण "persist.sys.adot" और "oem.selinux.reload_policy" सच है, जिसका अर्थ है कि आपके पास adb के माध्यम से लगातार रूट एक्सेस है और फ़ाइल सिस्टम को भौतिक रूप से रूट में बदल सकते हैं उपकरण।

और इंटरनेट जल्दी से इस के साथ भाग गया, क्योंकि यह एक ही समय में भयानक और भयानक है। जो लोग बूटलोडर को अनलॉक किए बिना अपने वनप्लस फोन को रूट करना चाहते हैं, और उन लोगों के लिए भयानक हैं जो अपने फोन से बंधे "बैकडोर" शब्द को देखते हैं।

पासवर्ड

एन्क्रिप्टेड पासवर्ड खोजना आसान नहीं है। लेकिन उस पासवर्ड के बिना, यह एप्लिकेशन और वह विधि जो रूट एक्सेस प्रदान करेगी, वास्तव में कुछ भी नहीं करती है। सप्ताहांत में थोड़ा काम करने के बाद, एल्डरसन और कुछ अन्य शोधकर्ताओं ने इसे पाया। यह "अंगेला" है।

हाथ में पासवर्ड के साथ, यह सही कमांड भेजने के रूप में आसान था और एल्डरसन तब कुछ भी करने में सक्षम था, जिसमें फोन को स्थायी रूप से रूट करने के लिए आवश्यक फाइलें जोड़ना शामिल था। एल्डर्सन का कहना है कि वह एक उपकरण जारी करेंगे ताकि आप जल्द ही अपने वनप्लस फोन के साथ आसानी से ऐसा कर सकें।

उन लोगों के लिए इसका क्या मतलब है जो रूट फोन नहीं चाहते हैं?

सौभाग्य से, ज्यादा नहीं। यह उपयोगकर्ता है एशियाई विकास बैंक तो यह बहुत संभावना नहीं है कि कोई आपके फोन को आपके बिना हैक कर सकता है। लेकिन यहां हमेशा एक मौका है कि कोई आपको जाने बिना इस दूरस्थ या किसी अन्य ऐप के माध्यम से शोषण करने में सक्षम होगा। फिक्स आसान है - वनप्लस तुरंत एक अपडेट भेजता है जो फैक्ट्री इंजीनियरिंग ऐप को हटा देता है। जैसे, अभी कर लो।

एक और सवाल यह है कि ऐप को सॉफ़्टवेयर में क्यों छोड़ा गया था और अगर इसके पीछे कोई दुर्भावनापूर्ण इरादा था। वनप्लस हाल ही में कुछ के लिए आग में आया है अनैतिक डेटा संग्रह. वे भी एक पिछले दरवाजे रखा जा सकता है ताकि उपयोगकर्ताओं पर जासूसी कर सकते हैं? कुछ भी संभव है, लेकिन जैसा कि उल्लेख किया गया है, यह एकमात्र समय नहीं है जब हमने इस ऐप को पीछे छोड़ दिया है। फिर भी, अगर यह अनजाने में कंपनी की ओर से बहुत ही टेढ़ा काम है - और अगर जानबूझकर किया गया है, तो टार और फीयर साउंड के लिए कॉल उचित है।

वनप्लस के सीईओ कार्ल पेई ने जवाब दिया है, हालांकि यह उतना ही गैर-कमिट है जितना आप कल्पना करेंगे।

क्वालकॉम को दोष देते हुए यहां गुमराह किया गया है। यह बस एक सॉफ्टवेयर परीक्षण सूट प्रदान करता है जिसे एक निर्माता को अपने सामान का उपयोग करके फोन बनाने की आवश्यकता होती है। के लिए क्वालकॉम पर नफरत जिस तरह से इसके एसईपी की कीमत है अगर आपको नफरत की वजह चाहिए, तो इसके लिए नहीं।

अपने हिस्से के लिए, एक क्वालकॉम प्रवक्ता ने एसी को निम्नलिखित बयान जारी किया, जिसमें कहा गया था कि EngineeringMode ऐप कंपनी से नहीं था:

एक गहन जांच के बाद, हमने निर्धारित किया है कि प्रश्न में EngineerMode ऐप क्वालकॉम द्वारा लिखित नहीं था। हालांकि कुछ क्वालकॉम स्रोत कोड के अवशेष स्पष्ट हैं, हम मानते हैं कि अन्य लोगों ने अतीत में बनाया, इसी तरह क्वालकॉम परीक्षण ऐप का नाम दिया गया जो डिवाइस की जानकारी प्रदर्शित करने तक सीमित था। EngineMMode अब हमारे द्वारा प्रदान किए गए मूल कोड जैसा नहीं है।

अगर आपको यह ऐप अपने फोन पर मिल जाए तो क्या करें

ओपन करके अपने फोन पर ऐप सूची में देखें समायोजन, दोहन ऐप्स फिर दोहन सिस्टम ऐप्स दिखाएं और अगर देखें इंजीनियर प्रणाली सूची में है। यदि हां, तो आपके फोन पर यह ऐप है और आपके पास दो विकल्प हैं।

1. साथ संपर्क में हैं ट्विटर के माध्यम से एल्डर्सन अगर आप मदद करना चाहते हैं तो देखें तुम्हारी फोन को इंजीनियरिंग ऐप के साथ रूट किया जा सकता है।
2. जिस कंपनी से आपने अपना फ़ोन खरीदा था, उससे संपर्क करें ताकि उन्हें पता चल जाए कि आपको इसके बारे में कुछ करने की ज़रूरत है, अगर आपके ऐप लिस्ट में संभावित शोषण नहीं है।

इस बात की कोई गारंटी नहीं है कि इनमें से कोई भी विकल्प प्रभावी होगा। एन्क्रिप्ट किए गए पासवर्ड दरार करने के लिए कठिन हैं और कंपनियां जो उन्हें अपडेट करने के लिए एंड्रॉइड फोन से नफरत करती हैं और बेचती हैं। उन्नत उपयोगकर्ता (सिद्धांत रूप में) उन्नत विशेषाधिकार प्राप्त करने के लिए किसी भी रूट शोषण का उपयोग कर सकते हैं, फिर आपत्तिजनक ऐप को हटा सकते हैं, लेकिन हर तरह की अराजकता हो सकती है अगर सही तरीके से नहीं किया गया। और शायद अगर आप भी किया इसे सही तरीके से करें। दुर्भाग्य से, यह एकमात्र सलाह है जो हम दे सकते हैं।