OxygenOS nutzt angeblich personenbezogene Daten für die Analyse

Das von OnePlus entwickelte OxygenOS wird als eine der besten OEM-Varianten von Android gelobt, ist aber dennoch nicht ohne Mängel. Datenschutzbedenken in Hülle und Fülle.

Während die OnePlus-Telefone aufgrund ihres Preises und ihrer Entwicklungsoffenheit einen guten Ruf genießen, hat das Unternehmen selbst in der Vergangenheit diesbezüglich einige fragwürdige Entscheidungen getroffen wie sie mit Benutzerdaten umgehen. Damals stellten wir fest, dass OxygenOS die IMEI Ihres Geräts an das Netzwerk weitergibt, während Ihr Gerät nach einem Update sucht. Laut dem Sicherheitsforscher Christopher Moore wird OnePlus nun vorgeworfen, noch sensiblere, persönlich identifizierbare Informationen gesammelt zu haben.

Während einer Hack Challenge, an der er letztes Jahr teilnahm, beschloss Moore, den Internetverkehr von seinem OnePlus 2 aus zu untersuchen. Er entdeckte, dass sein Telefon HTTPS-Anfragen an die Domain open.oneplus.net sendete. Er entschlüsselte die Daten mit dem Schlüssel auf dem Gerät und konnte sehen, wie alle Daten an die AWS-Server von OnePlus zurückgesendet wurden.

Anschließend analysierte er, welche Informationen an diese Domain gesendet wurden, und stellte fest, dass OnePlus Bildschirm-Ein- und Bildschirm-Aus-Ereignisse sowie Ereignisse zum Entsperren des Geräts sammelte. abnormale Neustarts, Seriennummer, IMEI, Telefonnummern, MAC-Adressen, Mobilfunknetznamen und IMSI-Präfixe sowie ESSID und WLAN-Netzwerke BSSID.

Aber damit ist das Data-Mining noch nicht getan, denn Moore stellte fest, dass OxygenOS auch Zeitstempel darüber sammelte, wann er Anwendungen öffnete und schloss und sogar welche Aktivitäten geöffnet wurden.

Moore hat etwas recherchiert und herausgefunden, dass der für diese Datenerfassung verantwortliche Code Teil von OnePlus ist Device Manager und der OnePlus Device Manager Provider, der in der Systemanwendung enthalten ist OPDeviceManager.apk.

Wenn Ihr Gerät nicht gerootet ist, können Sie den folgenden ADB-Befehl ausführen, um diese Systemanwendung auf Ihrem OnePlus-Gerät zu deaktivieren:

pmuninstall-k--user 0 net.oneplus.odm

Ein Tutorial zum Einrichten von ADB und zum Ausführen dieses Befehls finden Sie hier hier gefunden. Alternativ können Sie die Installation durchführen, wenn Ihr Gerät gerootet ist dieses Magisk-Modul.

Alle diese Informationen werden wiederum über HTTPS gesendet, sodass sie nicht von anderen abgefangen werden können (vorausgesetzt, Sie befinden sich in einem sicheren Netzwerk). Allerdings fragt man sich, was OnePlus mit dieser Art von Informationen macht. In einer Erklärung gab OnePlus die folgende Erklärung für die von ihnen gesammelten Analysen:

Wir übertragen Analysen sicher in zwei verschiedenen Streams über HTTPS an einen Amazon-Server. Der erste Stream sind Nutzungsanalysen, die wir sammeln, damit wir unsere Software genauer auf das Benutzerverhalten abstimmen können. Diese Übertragung der Nutzungsaktivität kann deaktiviert werden, indem Sie zu „Einstellungen“ -> „Erweitert“ -> „Benutzererfahrungsprogramm beitreten“ navigieren. Der zweite Strom sind Geräteinformationen, die wir sammeln, um einen besseren After-Sales-Support zu bieten.

Beachten Sie, dass diese Datenerfassung nur unter OxygenOS erfolgt. Wenn Sie also ein benutzerdefiniertes AOSP-basiertes ROM wie LineageOS installiert haben, ist Ihr Telefon vor Data-Mining geschützt. Für eine technischere Aufschlüsselung empfehlen wir Ihnen, den Original-Blogbeitrag zu lesen, den Herr Moore unten verlinkt hat.


Quelle: Chris's Security and Tech Blog