OxygenOS vyvinutý společností OnePlus je chválen jako jedna z nejlepších variant OEM Androidu, ale přesto není bez nedostatků. Spousta obav o soukromí.
Zatímco telefony OnePlus mají dobrou pověst pro svou cenu a otevřenost vůči vývoji, samotná společnost učinila v minulosti některá sporná rozhodnutí, pokud jde o jak nakládají s uživatelskými daty. V té době jsme zjistili, že OxygenOS unikne IMEI vašeho zařízení do sítě, zatímco vaše zařízení kontroluje aktualizaci. Nyní je společnost OnePlus obviněna ze shromažďování ještě citlivějších, osobně identifikovatelných informací podle bezpečnostního výzkumníka Christophera Moorea.
Během Hack Challenge, kterého se účastnil minulý rok, se Moore rozhodl prozkoumat internetový provoz ze svého OnePlus 2. Zjistil, že jeho telefon odesílá požadavky HTTPS do domény open.oneplus.net. Dešifroval data pomocí klíče na zařízení a byl schopen vidět všechna data odesílaná zpět na servery OnePlus AWS.
Poté analyzoval, jaké informace byly odesílány do této domény, a zjistil, že OnePlus shromažďuje události zapnutí a vypnutí obrazovky, odemknutí zařízení, abnormální restarty, sériové číslo, IMEI, telefonní čísla, MAC adresy, názvy mobilních sítí a předpony IMSI a ESSID bezdrátové sítě a BSSID.
Tím ale dolování dat nekončí, protože Moore zjistil, že OxygenOS také shromažďoval časová razítka, kdy otevíral a zavíral aplikace, a dokonce i to, které činnosti byly otevírány.
Moore provedl nějaké kopání a zjistil, že kód zodpovědný za tento sběr dat je součástí OnePlus Správce zařízení a OnePlus Device Manager Provider, který je obsažen v systémové aplikaci OPDeviceManager.apk.
Pokud vaše zařízení není rootované, můžete spustit následující příkaz ADB a deaktivovat tuto systémovou aplikaci na vašem zařízení OnePlus:
pmuninstall-k--user 0 net.oneplus.odmNávod, jak nastavit ADB a spustit tento příkaz, může být najdete zde. Případně, pokud je vaše zařízení rootované, můžete nainstalovat tento modul Magisk.
Všechny tyto informace jsou opět odesílány přes HTTPS, takže je nemůže zachytit nikdo jiný (za předpokladu, že jste v zabezpečené síti). Člověk se však diví, co OnePlus dělá s tímto druhem informací. V prohlášení společnost OnePlus nabídla následující vysvětlení analýzy, kterou shromažďují:
Bezpečně přenášíme analýzy ve dvou různých proudech přes HTTPS na server Amazon. Prvním proudem jsou analýzy využití, které shromažďujeme, abychom mohli přesněji vyladit náš software podle chování uživatelů. Tento přenos aktivity používání lze vypnout přechodem na ‚Nastavení‘ -> ‚Pokročilé‘ -> ‚Připojit se k programu uživatelské zkušenosti‘. Druhým proudem jsou informace o zařízení, které shromažďujeme, abychom poskytovali lepší poprodejní podporu.
Mějte na paměti, že tento sběr dat probíhá pouze na OxygenOS, takže pokud máte nainstalovanou vlastní ROM založenou na AOSP, jako je LineageOS, pak je váš telefon v bezpečí před těžbou dat. Pro techničtější rozbor vám doporučujeme přečíst si původní blogový příspěvek, který pan Moore vytvořil, odkaz níže.
Zdroj: Chris's Security and Tech Blog