Το OxygenOS φέρεται να είναι προσωπικά αναγνωρίσιμες πληροφορίες εξόρυξης δεδομένων για το Analytics

Το OxygenOS που αναπτύχθηκε από την OnePlus επαινείται ως μια από τις καλύτερες γεύσεις OEM του Android που κυκλοφορούν, αλλά δεν είναι χωρίς ελαττώματα. Το απόρρητο ανησυχεί σε αφθονία.

Ενώ τα τηλέφωνα OnePlus έχουν καλή φήμη για την τιμή και το άνοιγμα τους στην ανάπτυξη, η ίδια η εταιρεία έχει λάβει ορισμένες αμφισβητούμενες αποφάσεις στο παρελθόν σχετικά με πώς χειρίζονται τα δεδομένα των χρηστών. Εκείνη τη στιγμή, ανακαλύψαμε ότι το OxygenOS θα διέρρεε το IMEI της συσκευής σας στο δίκτυο ενώ η συσκευή σας ελέγχει για ενημέρωση. Τώρα, η OnePlus κατηγορείται ότι συλλέγει ακόμη πιο ευαίσθητες, προσωπικά αναγνωρίσιμες πληροφορίες, σύμφωνα με τον ερευνητή ασφαλείας Christopher Moore.

Κατά τη διάρκεια ενός Hack Challenge στο οποίο συμμετείχε πέρυσι, ο Moore αποφάσισε να διερευνήσει την κίνηση στο Διαδίκτυο από το OnePlus 2 του. Ανακάλυψε ότι το τηλέφωνό του έστελνε αιτήματα HTTPS στον τομέα open.oneplus.net. Αποκρυπτογράφηση των δεδομένων χρησιμοποιώντας το κλειδί της συσκευής και μπόρεσε να δει όλα τα δεδομένα να αποστέλλονται πίσω στους διακομιστές AWS της OnePlus.

Στη συνέχεια, ανέλυσε ποιες πληροφορίες αποστέλλονταν σε αυτόν τον τομέα και διαπίστωσε ότι το OnePlus συλλέγει συμβάντα ενεργοποίησης, απενεργοποίησης οθόνης, ξεκλειδώματος συσκευής, μη κανονικές επανεκκινήσεις, σειριακός αριθμός, IMEI, αριθμοί τηλεφώνου, διευθύνσεις MAC, ονόματα δικτύων κινητής τηλεφωνίας και προθέματα IMSI και ασύρματο δίκτυο ESSID και BSSID.

Αλλά η εξόρυξη δεδομένων δεν σταματά εκεί, καθώς ο Μουρ ανακάλυψε ότι το OxygenOS συγκέντρωνε επίσης χρονικές σημάνσεις για το πότε άνοιξε και έκλεινε εφαρμογές και ακόμη και ποιες δραστηριότητες άνοιγαν.

Ο Μουρ έκανε κάποιες έρευνες και ανακάλυψε ότι ο κώδικας που είναι υπεύθυνος για αυτήν τη συλλογή δεδομένων είναι μέρος του OnePlus Διαχείριση Συσκευών και τον Πάροχο Διαχείρισης Συσκευών OnePlus, που περιέχεται στην εφαρμογή συστήματος OPDeviceManager.apk.

Εάν η συσκευή σας δεν είναι ριζωμένη, τότε μπορείτε να εκτελέσετε την ακόλουθη εντολή ADB για να απενεργοποιήσετε αυτήν την εφαρμογή συστήματος στη συσκευή σας OnePlus:

pmuninstall-k--user 0 net.oneplus.odm

Ένα σεμινάριο για το πώς να ρυθμίσετε το ADB και να εκτελέσετε αυτήν την εντολή μπορεί να είναι βρέθηκε εδώ. Εναλλακτικά, εάν η συσκευή σας είναι root μπορείτε να εγκαταστήσετε αυτή η ενότητα Magisk.

Όλες αυτές οι πληροφορίες αποστέλλονται και πάλι μέσω HTTPS, ώστε να μην μπορούν να υποκλαπούν από κανέναν άλλον (υπό την προϋπόθεση ότι βρίσκεστε σε ασφαλές δίκτυο). Ωστόσο, αναρωτιέται κανείς τι κάνει η OnePlus με αυτού του είδους τις πληροφορίες. Σε μια δήλωση, η OnePlus προσέφερε την ακόλουθη εξήγηση πίσω από τα αναλυτικά στοιχεία που συλλέγουν:

Μεταδίδουμε με ασφάλεια αναλυτικά στοιχεία σε δύο διαφορετικές ροές μέσω HTTPS σε διακομιστή Amazon. Η πρώτη ροή είναι τα αναλυτικά στοιχεία χρήσης, τα οποία συλλέγουμε για να ρυθμίσουμε με μεγαλύτερη ακρίβεια το λογισμικό μας σύμφωνα με τη συμπεριφορά των χρηστών. Αυτή η μετάδοση δραστηριότητας χρήσης μπορεί να απενεργοποιηθεί μεταβαίνοντας στις "Ρυθμίσεις" -> "Σύνθετες" -> "Συμμετοχή στο πρόγραμμα εμπειρίας χρήστη". Η δεύτερη ροή είναι οι πληροφορίες συσκευής, τις οποίες συλλέγουμε για να παρέχουμε καλύτερη υποστήριξη μετά την πώληση.

Λάβετε υπόψη ότι αυτή η συλλογή δεδομένων πραγματοποιείται μόνο στο OxygenOS, επομένως εάν έχετε εγκαταστήσει μια προσαρμοσμένη ROM που βασίζεται σε AOSP, όπως το LineageOS, τότε το τηλέφωνό σας είναι ασφαλές από εξόρυξη δεδομένων. Για μια πιο τεχνική ανάλυση, σας συνιστούμε να διαβάσετε την αρχική ανάρτηση ιστολογίου που έκανε ο κύριος Μουρ, στον παρακάτω σύνδεσμο.


Πηγή: Chris's Security and Tech Blog