OxygenOS yang dikembangkan oleh OnePlus dipuji sebagai salah satu varian OEM terbaik dari Android, namun bukannya tanpa kekurangan. Masalah privasi berlimpah.
Meskipun ponsel OnePlus memiliki reputasi yang baik dalam hal harga dan keterbukaan terhadap pengembangan, perusahaan itu sendiri telah membuat beberapa keputusan yang meragukan di masa lalu sehubungan dengan bagaimana mereka menangani data pengguna. Pada saat itu, kami menemukan bahwa OxygenOS akan membocorkan IMEI perangkat Anda ke jaringan saat perangkat Anda memeriksa pembaruan. Sekarang, OnePlus dituduh mengumpulkan informasi yang lebih sensitif dan dapat diidentifikasi secara pribadi menurut peneliti keamanan Christopher Moore.
Selama Hack Challenge yang dia ikuti tahun lalu, Moore memutuskan untuk menyelidiki lalu lintas internet dari OnePlus 2 miliknya. Dia menemukan bahwa ponselnya mengirimkan permintaan HTTPS ke domain open.oneplus.net. Dia mendekripsi data menggunakan kunci pada perangkat dan dapat melihat semua data dikirim kembali ke server AWS OnePlus.
Dia kemudian menganalisis informasi apa yang dikirim ke domain ini dan menemukan bahwa OnePlus mengumpulkan peristiwa layar aktif, layar mati, buka kunci perangkat, reboot yang tidak normal, nomor seri, IMEI, nomor telepon, alamat MAC, nama jaringan seluler dan awalan IMSI, dan ESSID jaringan nirkabel dan BSID.
Namun penambangan data tidak berhenti di situ, karena Moore menemukan bahwa OxygenOS juga mengumpulkan stempel waktu kapan dia membuka dan menutup aplikasi dan bahkan aktivitas apa yang sedang dibuka.
Moore melakukan penggalian dan menemukan bahwa kode yang bertanggung jawab atas pengumpulan data ini adalah bagian dari OnePlus Pengelola Perangkat dan Penyedia Pengelola Perangkat OnePlus, yang terdapat dalam aplikasi sistem OPDeviceManager.apk.
Jika perangkat Anda belum di-root, Anda dapat menjalankan perintah ADB berikut untuk menonaktifkan aplikasi sistem ini di perangkat OnePlus Anda:
pmuninstall-k--user 0 net.oneplus.odmTutorial cara setting ADB dan menjalankan perintah ini bisa ditemukan di sini. Alternatifnya, jika perangkat Anda sudah di-root, Anda dapat menginstalnya modul Magisk ini.
Semua informasi ini, sekali lagi, dikirim melalui HTTPS sehingga tidak dapat disadap oleh orang lain (asalkan Anda berada di jaringan aman). Namun, orang bertanya-tanya apa yang dilakukan OnePlus dengan informasi semacam ini. Dalam sebuah pernyataan, OnePlus memberikan penjelasan berikut di balik analisis yang mereka kumpulkan:
Kami mengirimkan analitik dengan aman dalam dua aliran berbeda melalui HTTPS ke server Amazon. Aliran pertama adalah analisis penggunaan, yang kami kumpulkan agar kami dapat menyempurnakan perangkat lunak kami dengan lebih tepat sesuai dengan perilaku pengguna. Transmisi aktivitas penggunaan ini dapat dimatikan dengan menavigasi ke 'Pengaturan' -> 'Lanjutan' -> 'Bergabung dengan program pengalaman pengguna'. Aliran kedua adalah informasi perangkat, yang kami kumpulkan untuk memberikan dukungan purna jual yang lebih baik.
Perlu diingat bahwa pengumpulan data ini hanya terjadi di OxygenOS, jadi jika Anda menginstal ROM khusus berbasis AOSP seperti LineageOS maka ponsel Anda aman dari penambangan data. Untuk rincian lebih teknis, kami menyarankan Anda membaca postingan blog asli yang dibuat oleh Mr. Moore yang ditautkan di bawah.
Sumber: Blog Keamanan dan Teknologi Chris