A OnePlus által fejlesztett OxygenOS-t az Android egyik legjobb OEM-ízeként dicsérik, de ennek ellenére nem mentes a hibáitól. Az adatvédelmi aggályok bőven.
Míg a OnePlus telefonok jó hírnévnek örvendenek az árukról és a fejlesztés iránti nyitottságukról, a vállalat maga is hozott néhány megkérdőjelezhető döntést a múltban a hogyan kezelik a felhasználói adatokat. Akkoriban felfedeztük, hogy az OxygenOS kiszivárogtatja eszközének IMEI-jét a hálózatra, miközben az eszköz frissítést keres. Christopher Moore biztonsági kutató szerint a OnePlus-t azzal vádolják, hogy még érzékenyebb, személyazonosításra alkalmas információkat gyűjt.
Egy Hack Challenge során, amelyben tavaly részt vett, Moore úgy döntött, hogy megvizsgálja a OnePlus 2 internetes forgalmat. Felfedezte, hogy telefonja HTTPS-kéréseket küld az open.oneplus.net tartományba. Az eszközön található kulcs segítségével visszafejtette az adatokat, és láthatta, hogy az összes adat visszaküldésre kerül a OnePlus AWS-kiszolgálóira.
Ezután elemezte, hogy milyen információkat küldtek erre a tartományra, és megállapította, hogy a OnePlus képernyő be-, kikapcsolási és eszközfeloldási eseményeket gyűjt, rendellenes újraindítások, sorozatszám, IMEI, telefonszámok, MAC-címek, mobilhálózatok nevei és IMSI-előtagjai, valamint a vezeték nélküli hálózat ESSID és BSSID.
Az adatbányászat azonban nem áll meg itt, mivel Moore megállapította, hogy az OxygenOS időbélyegzőket is gyűjt arról, mikor nyitott és zárt be alkalmazásokat, és még azt is, hogy mely tevékenységeket nyitották meg.
Moore utánajárt, és felfedezte, hogy az adatgyűjtésért felelős kód a OnePlus része Eszközkezelő és a OnePlus Eszközkezelő szolgáltató, amely a rendszeralkalmazásban található OPDeviceManager.apk.
Ha eszköze nem rootolt, akkor a következő ADB-parancs futtatásával letilthatja ezt a rendszeralkalmazást a OnePlus-eszközön:
pmuninstall-k--user 0 net.oneplus.odm
Az ADB beállításáról és a parancs futtatásáról szóló oktatóanyag lehet itt található. Alternatív megoldásként, ha az eszköz rootolt, telepítheti ez a Magisk modul.
Ezeket az információkat ismét HTTPS-en keresztül küldjük el, így senki más nem tudja elfogni (feltéve, hogy biztonságos hálózaton van). Azonban az ember kíváncsi, mit kezd a OnePlus az ilyen jellegű információkkal. Nyilatkozatában a OnePlus a következő magyarázatot kínálta az általuk gyűjtött elemzések mögött:
Az elemzéseket biztonságosan továbbítjuk két különböző adatfolyamban HTTPS-en keresztül egy Amazon szerverre. Az első adatfolyam a használati elemzés, amelyet azért gyűjtünk össze, hogy szoftverünket a felhasználói viselkedésnek megfelelően pontosabban tudjuk finomhangolni. Ez a használati tevékenység továbbítása kikapcsolható a „Beállítások” -> „Speciális” -> „Csatlakozás a felhasználói élmény programhoz” menüpontra kattintva. A második adatfolyam az eszközadatok, amelyeket azért gyűjtünk, hogy jobb értékesítés utáni támogatást nyújthassunk.
Ne feledje, hogy ez az adatgyűjtés csak az OxygenOS rendszeren történik, tehát ha egyéni AOSP-alapú ROM van telepítve, például a LineageOS, akkor telefonja biztonságban van az adatbányászattól. A technikai részletezéshez javasoljuk, hogy olvassa el az eredeti blogbejegyzést, amelyet Mr. Moore készített az alábbiakban.
Forrás: Chris Security and Tech Blog