OnePlusi poolt välja töötatud OxygenOS-i kiidetakse kui Androidi üht parimat originaalseadmete tootjat, kuid see pole siiski ka puudusteta. Privaatsus puudutab palju.
Kuigi OnePlusi telefonidel on hea maine oma hinna ja arengule avatuse poolest, on ettevõte ise varem teinud mõningaid küsitavaid otsuseid seoses kuidas nad kasutajaandmeid töötlevad. Sel ajal avastasime, et OxygenOS lekib teie seadme IMEI-koodi võrku, kui seade otsib värskendust. Nüüd süüdistatakse OnePlusi turvauurija Christopher Moore'i sõnul veelgi tundlikuma, isikut tuvastava teabe kogumises.
Hack Challenge'i ajal, milles ta eelmisel aastal osales, otsustas Moore uurida oma OnePlus 2 Interneti-liiklust. Ta avastas, et tema telefon saadab HTTPS-i päringuid domeenile open.oneplus.net. Ta dekrüpteeris andmed seadme võtme abil ja nägi kõiki andmeid, mis saadeti tagasi OnePlusi AWS-serveritesse.
Seejärel analüüsis ta, millist teavet sellele domeenile saadeti, ja leidis, et OnePlus kogus ekraani sisse-, väljalülitamise ja seadme avamise sündmusi, ebatavalised taaskäivitused, seerianumber, IMEI, telefoninumbrid, MAC-aadressid, mobiilsidevõrkude nimed ja IMSI-eesliited ning traadita võrgu ESSID ja BSSID.
Kuid andmekaevandamine ei lõpe sellega, sest Moore leidis, et OxygenOS kogus ka ajatempleid selle kohta, millal ta rakendusi avas ja sulges ning isegi milliseid tegevusi avati.
Moore uuris pisut ja avastas, et selle andmete kogumise eest vastutav kood on OnePlusi osa Seadmehaldur ja OnePlusi seadmehalduri pakkuja, mis sisalduvad süsteemirakenduses OPDeviceManager.apk.
Kui teie seade pole juurdunud, saate selle süsteemirakenduse oma OnePlusi seadmes keelata järgmise ADB-käsuga:
pmuninstall-k--user 0 net.oneplus.odm
ADB seadistamise ja selle käsu käivitamise õpetus võib olla leitud siit. Teise võimalusena saate installida, kui teie seade on juurdunud see Magiski moodul.
Kogu see teave saadetakse jällegi HTTPS-i kaudu, nii et keegi teine ei saa seda pealt kuulata (eeldusel, et olete turvalises võrgus). Siiski tekib küsimus, mida OnePlus sellise teabega teeb. Oma avalduses pakkus OnePlus kogutavate analüüside taga järgmist selgitust:
Edastame analüüsi turvaliselt kahes erinevas voos üle HTTPS-i Amazoni serverisse. Esimene voog on kasutusanalüütika, mida kogume selleks, et saaksime oma tarkvara vastavalt kasutaja käitumisele täpsemalt häälestada. Selle kasutustegevuse edastamise saab välja lülitada, liikudes jaotisse "Seaded" -> "Täpsemalt" -> "Liitu kasutajakogemuse programmiga". Teine voog on seadme teave, mida kogume parema müügijärgse toe pakkumiseks.
Pidage meeles, et see andmete kogumine toimub ainult OxygenOS-is, nii et kui teil on installitud kohandatud AOSP-põhine ROM, näiteks LineageOS, on teie telefon andmete kaevandamise eest kaitstud. Tehnilisema jaotuse saamiseks soovitame teil lugeda algset ajaveebipostitust, mille hr Moore tegi allpool lingi.
Allikas: Chrisi turva- ja tehnikablogi