OxygenOS développé par OnePlus est considéré comme l’une des meilleures versions OEM d’Android, mais il n’est pourtant pas sans défauts. Les problèmes de confidentialité sont nombreux.
Bien que les téléphones OnePlus aient une bonne réputation pour leur prix et leur ouverture au développement, la société elle-même a pris des décisions discutables dans le passé en ce qui concerne comment ils gèrent les données des utilisateurs. À l'époque, nous avons découvert qu'OxygenOS divulguait l'IMEI de votre appareil sur le réseau pendant que votre appareil recherchait une mise à jour. Désormais, OnePlus est accusé d'avoir collecté des informations personnelles encore plus sensibles, selon le chercheur en sécurité Christopher Moore.
Lors d'un Hack Challenge auquel il participait l'année dernière, Moore a décidé de sonder le trafic Internet de son OnePlus 2. Il a découvert que son téléphone envoyait des requêtes HTTPS au domaine open.oneplus.net. Il a déchiffré les données à l'aide de la clé intégrée à l'appareil et a pu voir toutes les données renvoyées aux serveurs AWS de OnePlus.
Il a ensuite analysé les informations envoyées à ce domaine et a constaté que OnePlus collectait les événements d'écran allumé, d'écran éteint, de déverrouillage de l'appareil, redémarrages anormaux, numéro de série, IMEI, numéros de téléphone, adresses MAC, noms de réseaux mobiles et préfixes IMSI, et réseau sans fil ESSID et BSSID.
Mais l'exploration de données ne s'arrête pas là, car Moore a découvert qu'OxygenOS collectait également des horodatages indiquant le moment où il ouvrait et fermait les applications et même les activités en cours d'ouverture.
Moore a creusé et découvert que le code responsable de cette collecte de données fait partie du OnePlus Gestionnaire de périphériques et le fournisseur OnePlus Device Manager, contenu dans l'application système OPDeviceManager.apk.
Si votre appareil n'est pas rooté, vous pouvez exécuter la commande ADB suivante pour désactiver cette application système sur votre appareil OnePlus :
pmuninstall-k--user 0 net.oneplus.odmUn tutoriel sur la façon de configurer ADB et d'exécuter cette commande peut être trouvé ici. Alternativement, si votre appareil est rooté, vous pouvez installer ce module Magisk.
Toutes ces informations sont, encore une fois, envoyées via HTTPS afin qu'elles ne puissent être interceptées par personne d'autre (à condition que vous soyez sur un réseau sécurisé). Cependant, on se demande ce que fait OnePlus avec ce genre d’informations. Dans une déclaration, OnePlus a proposé l'explication suivante derrière les analyses qu'ils collectent :
Nous transmettons en toute sécurité les analyses dans deux flux différents via HTTPS vers un serveur Amazon. Le premier flux concerne les analyses d’utilisation, que nous collectons afin de pouvoir affiner plus précisément notre logiciel en fonction du comportement des utilisateurs. Cette transmission de l'activité d'utilisation peut être désactivée en accédant à « Paramètres » -> « Avancé » -> « Rejoindre le programme d'expérience utilisateur ». Le deuxième flux concerne les informations sur les appareils, que nous collectons pour fournir un meilleur support après-vente.
Gardez à l’esprit que cette collecte de données ne se produit que sur OxygenOS, donc si vous avez installé une ROM personnalisée basée sur AOSP telle que LineageOS, votre téléphone est à l’abri de l’exploration de données. Pour une analyse plus technique, nous vous recommandons de lire le billet de blog original rédigé par M. Moore, lié ci-dessous.
Source: Blog sur la sécurité et la technologie de Chris