OxygenOS, разработен от OnePlus, е възхваляван като един от най-добрите OEM разновидности на Android, но все пак не е без недостатъци. Безпокойството за поверителността е в изобилие.
Въпреки че телефоните OnePlus имат добра репутация за своята цена и отвореност за развитие, самата компания е взела някои съмнителни решения в миналото по отношение на как обработват потребителските данни. По това време открихме, че OxygenOS ще изтече IMEI на вашето устройство в мрежата, докато устройството ви проверява за актуализация. Сега OnePlus е обвинен в събиране на още по-чувствителна, лична информация според изследователя по сигурността Кристофър Мур.
По време на Hack Challenge, в който участва миналата година, Мур реши да изследва интернет трафика от своя OnePlus 2. Той откри, че телефонът му изпраща HTTPS заявки към домейна open.oneplus.net. Той дешифрира данните с помощта на ключа на устройството и успя да види всички данни, изпратени обратно към AWS сървърите на OnePlus.
След това той анализира каква информация се изпраща до този домейн и установи, че OnePlus събира събития за включване, изключване на екрана, отключване на устройство, необичайни рестартирания, сериен номер, IMEI, телефонни номера, MAC адреси, имена на мобилни мрежи и IMSI префикси и ESSID на безжичната мрежа и BSSID.
Но извличането на данни не спира дотук, тъй като Мур откри, че OxygenOS също събира времеви печати за това кога е отварял и затварял приложения и дори кои дейности са били отваряни.
Мур направи известно копаене и откри, че кодът, отговорен за това събиране на данни, е част от OnePlus Device Manager и OnePlus Device Manager Provider, който се съдържа в системното приложение OPDeviceManager.apk.
Ако устройството ви не е руутнато, тогава можете да изпълните следната ADB команда, за да деактивирате това системно приложение на вашето устройство OnePlus:
pmuninstall-k--user 0 net.oneplus.odmУрок за това как да настроите ADB и да изпълните тази команда може да бъде намерени тук. Като алтернатива, ако устройството ви е руутнато, можете да инсталирате този модул Magisk.
Цялата тази информация отново се изпраща през HTTPS, така че не може да бъде прихваната от никой друг (при условие, че сте в защитена мрежа). Все пак човек се чуди какво прави OnePlus с този вид информация. В изявление OnePlus предложи следното обяснение зад анализите, които събират:
Ние сигурно предаваме анализи в два различни потока през HTTPS към сървър на Amazon. Първият поток е анализ на използването, който събираме, за да можем по-прецизно да настроим нашия софтуер според поведението на потребителите. Това предаване на активността на използване може да бъде изключено чрез навигиране до „Настройки“ -> „Разширени“ -> „Присъединяване към програма за потребителско изживяване“. Вторият поток е информация за устройството, която събираме, за да осигурим по-добра поддръжка след продажбата.
Имайте предвид, че това събиране на данни се извършва само на OxygenOS, така че ако имате инсталиран персонализиран ROM, базиран на AOSP, като LineageOS, тогава телефонът ви е защитен от извличане на данни. За по-техническа разбивка ви препоръчваме да прочетете оригиналната публикация в блога, направена от г-н Мур, свързана по-долу.
Източник: Блогът за сигурност и технологии на Крис