OxygenOS desarrollado por OnePlus es elogiado como una de las mejores versiones OEM de Android, pero aún así no está exento de defectos. Hay muchas preocupaciones sobre la privacidad.
Si bien los teléfonos OnePlus tienen una buena reputación por su precio y su apertura al desarrollo, la propia compañía ha tomado algunas decisiones cuestionables en el pasado con respecto a cómo manejan los datos del usuario. En ese momento, descubrimos que OxygenOS filtraría el IMEI de su dispositivo a la red mientras su dispositivo busca una actualización. Ahora, OnePlus está acusado de recopilar información de identificación personal aún más sensible, según el investigador de seguridad Christopher Moore.
Durante un Hack Challenge en el que participó el año pasado, Moore decidió sondear el tráfico de Internet desde su OnePlus 2. Descubrió que su teléfono enviaba solicitudes HTTPS al dominio open.oneplus.net. Descifró los datos usando la clave del dispositivo y pudo ver que todos los datos se enviaban a los servidores AWS de OnePlus.
Luego analizó qué información se enviaba a este dominio y descubrió que OnePlus estaba recopilando eventos de pantalla encendida, pantalla apagada, desbloqueo del dispositivo, reinicios anormales, número de serie, IMEI, números de teléfono, direcciones MAC, nombres de redes móviles y prefijos IMSI, y ESSID y red inalámbrica BSSID.
Pero la extracción de datos no termina ahí, ya que Moore descubrió que OxygenOS también recopilaba marcas de tiempo de cuándo abrió y cerró aplicaciones e incluso qué actividades se estaban abriendo.
Moore investigó un poco y descubrió que el código responsable de esta recopilación de datos es parte del OnePlus. Administrador de dispositivos y el proveedor de administrador de dispositivos OnePlus, que está contenido en la aplicación del sistema OPDeviceManager.apk.
Si su dispositivo no está rooteado, puede ejecutar el siguiente comando ADB para deshabilitar esta aplicación del sistema en su dispositivo OnePlus:
pmuninstall-k--user 0 net.oneplus.odm
Puede encontrar un tutorial sobre cómo configurar ADB y ejecutar este comando. encontrado aquí. Alternativamente, si su dispositivo está rooteado, puede instalar este módulo Magisk.
Toda esta información, nuevamente, se envía a través de HTTPS para que nadie más pueda interceptarla (siempre que esté en una red segura). Sin embargo, uno se pregunta qué está haciendo OnePlus con este tipo de información. En un comunicado, OnePlus ofreció la siguiente explicación detrás de los análisis que están recopilando:
Transmitimos análisis de forma segura en dos flujos diferentes a través de HTTPS a un servidor de Amazon. La primera corriente son los análisis de uso, que recopilamos para poder ajustar con mayor precisión nuestro software según el comportamiento del usuario. Esta transmisión de actividad de uso se puede desactivar navegando a "Configuración" -> "Avanzado" -> "Unirse al programa de experiencia de usuario". El segundo flujo es la información del dispositivo, que recopilamos para brindar un mejor soporte posventa.
Tenga en cuenta que esta recopilación de datos solo se produce en OxygenOS, por lo que si tiene instalada una ROM personalizada basada en AOSP, como LineageOS, su teléfono está a salvo de la extracción de datos. Para obtener un desglose más técnico, le recomendamos leer la publicación de blog original que hizo el Sr. Moore vinculada a continuación.
Fuente: Blog de tecnología y seguridad de Chris