OxygenOS udviklet af OnePlus er rost som en af de bedste OEM varianter af Android, men alligevel er det ikke uden sine fejl. Bekymringer om privatlivets fred i massevis.
Mens OnePlus-telefonerne har et godt ry for deres pris og åbenhed over for udvikling, har virksomheden selv tidligere taget nogle tvivlsomme beslutninger m.h.t. hvordan de håndterer brugerdata. På det tidspunkt opdagede vi, at OxygenOS ville lække din enheds IMEI til netværket, mens din enhed søger efter en opdatering. Nu er OnePlus anklaget for at indsamle endnu mere følsomme, personligt identificerbare oplysninger ifølge sikkerhedsforsker Christopher Moore.
Under en Hack Challenge, han deltog i sidste år, besluttede Moore at undersøge internettrafikken fra sin OnePlus 2. Han opdagede, at hans telefon sendte HTTPS-anmodninger til domænet open.oneplus.net. Han dekrypterede dataene ved hjælp af nøglen på enheden og var i stand til at se alle dataene blive sendt tilbage til OnePlus' AWS-servere.
Han analyserede derefter, hvilke oplysninger der blev sendt til dette domæne og fandt ud af, at OnePlus indsamlede skærm til, skærm fra, hændelser til oplåsning af enheden, unormale genstarter, serienummer, IMEI, telefonnumre, MAC-adresser, mobilnetværksnavne og IMSI-præfikser og trådløst netværk ESSID og BSSID.
Men data-mining stopper ikke der, da Moore fandt ud af, at OxygenOS også indsamlede tidsstempler for, hvornår han åbnede og lukkede applikationer, og endda hvilke aktiviteter, der blev åbnet.
Moore gravede lidt og opdagede, at koden, der er ansvarlig for denne dataindsamling, er en del af OnePlus Device Manager og OnePlus Device Manager Provider, som er indeholdt i systemapplikationen OPDeviceManager.apk.
Hvis din enhed ikke er rootet, kan du køre følgende ADB-kommando for at deaktivere denne systemapplikation på din OnePlus-enhed:
pmuninstall-k--user 0 net.oneplus.odmEn tutorial om, hvordan man opsætter ADB og kører denne kommando kan være findes her. Alternativt, hvis din enhed er rootet, kan du installere dette Magisk-modul.
Alle disse oplysninger sendes igen over HTTPS, så de ikke kan opsnappes af andre (forudsat at du er på et sikkert netværk). Men man undrer sig over, hvad OnePlus gør med denne form for information. I en erklæring tilbød OnePlus følgende forklaring bag de analyser, de indsamler:
Vi overfører sikkert analyser i to forskellige streams over HTTPS til en Amazon-server. Den første strøm er brugsanalyse, som vi indsamler, for at vi mere præcist kan finjustere vores software efter brugeradfærd. Denne transmission af brugsaktivitet kan slås fra ved at navigere til 'Indstillinger' -> 'Avanceret' -> 'Deltag i brugeroplevelsesprogram'. Den anden strøm er enhedsoplysninger, som vi indsamler for at give bedre eftersalgssupport.
Husk, at denne dataindsamling kun finder sted på OxygenOS, så hvis du har en brugerdefineret AOSP-baseret ROM installeret, såsom LineageOS, er din telefon sikker fra data-mining. For en mere teknisk opdeling, anbefaler vi, at du læser det originale blogindlæg, som Mr. Moore lavede med linket nedenfor.
Kilde: Chris's Security and Tech Blog