OnePlusin kehittämä OxygenOS on ylistetty yhtenä Androidin parhaista OEM-makuista, mutta silti se ei ole vailla puutteita. Yksityisyys huolestuttaa yllin kyllin.
Vaikka OnePlus-puhelimilla on hyvä maine hintansa ja kehitysavoimuutensa vuoksi, yritys itse on tehnyt aiemmin kyseenalaisia päätöksiä koskien miten he käsittelevät käyttäjätietoja. Huomasimme tuolloin, että OxygenOS vuotaisi laitteesi IMEI-koodin verkkoon, kun laitteesi etsii päivitystä. Turvatutkija Christopher Mooren mukaan OnePlusia syytetään nyt entistä arkaluonteisempien, henkilökohtaisesti tunnistettavien tietojen keräämisestä.
Hack Challengen aikana, johon hän osallistui viime vuonna, Moore päätti tutkia Internet-liikennettä OnePlus 2:staan. Hän huomasi, että hänen puhelimensa lähetti HTTPS-pyyntöjä verkkotunnukseen open.oneplus.net. Hän purki tietojen salauksen käyttämällä laitteen avainta ja näki, että kaikki tiedot lähetettiin takaisin OnePlusin AWS-palvelimille.
Sitten hän analysoi, mitä tietoja tälle verkkotunnukselle lähetettiin, ja havaitsi, että OnePlus kerää näytön päälle, pois päältä, laitteen lukituksen avaustapahtumia, epänormaalit uudelleenkäynnistykset, sarjanumero, IMEI, puhelinnumerot, MAC-osoitteet, matkapuhelinverkkojen nimet ja IMSI-etuliitteet sekä langattoman verkon ESSID ja BSSID.
Mutta tiedon louhinta ei lopu tähän, sillä Moore havaitsi, että OxygenOS keräsi myös aikaleimoja siitä, milloin hän avasi ja sulki sovelluksia ja jopa mitä toimintoja avattiin.
Moore kaivoi asiaa ja huomasi, että tästä tiedonkeruusta vastaava koodi on osa OnePlusia Device Manager ja OnePlus Device Manager Provider, joka sisältyy järjestelmäsovellukseen OPDeviceManager.apk.
Jos laitteesi ei ole juurtunut, voit suorittaa seuraavan ADB-komennon poistaaksesi tämän järjestelmäsovelluksen käytöstä OnePlus-laitteessasi:
pmuninstall-k--user 0 net.oneplus.odmOpetusohjelma ADB: n määrittämiseen ja tämän komennon suorittamiseen voi olla löytyi täältä. Vaihtoehtoisesti, jos laitteesi on juurtunut, voit asentaa sen tämä Magisk-moduuli.
Kaikki nämä tiedot lähetetään jälleen HTTPS: n kautta, joten kukaan muu ei voi siepata niitä (edellyttäen, että olet suojatussa verkossa). Ihmetyttää kuitenkin, mitä OnePlus tekee tällaisella tiedolla. OnePlus tarjosi lausunnossaan seuraavan selityksen keräämiensä analytiikan takana:
Välitämme analytiikkaa turvallisesti kahdessa eri virrassa HTTPS: n kautta Amazon-palvelimelle. Ensimmäinen virta on käyttöanalytiikka, jota keräämme voidaksemme hienosäätää ohjelmistomme tarkemmin käyttäjien käyttäytymisen mukaan. Tämä käyttötoimintojen lähetys voidaan kytkeä pois päältä siirtymällä kohtaan "Asetukset" -> "Lisäasetukset" -> "Liity käyttökokemusohjelmaan". Toinen virta on laitetiedot, joita keräämme tarjotaksemme parempaa myynninjälkeistä tukea.
Muista, että tämä tiedonkeruu tapahtuu vain OxygenOS: ssä, joten jos sinulla on asennettuna mukautettu AOSP-pohjainen ROM, kuten LineageOS, puhelimesi on turvassa tiedon louhinnalta. Jos haluat lisätietoja teknisestä erittelystä, suosittelemme lukemaan alkuperäisen blogiviestin, jonka Mr. Moore teki linkin alla.
Lähde: Chris's Security and Tech Blog