OxygenOS sviluppato da OnePlus è lodato come uno dei migliori versioni OEM di Android in circolazione, ma non è privo di difetti. La privacy preoccupa in abbondanza.
Sebbene i telefoni OnePlus godano di una buona reputazione per il prezzo e l'apertura allo sviluppo, in passato l'azienda stessa ha preso alcune decisioni discutibili per quanto riguarda come gestiscono i dati degli utenti. All'epoca, abbiamo scoperto che OxygenOS diffondeva l'IMEI del tuo dispositivo sulla rete mentre il tuo dispositivo verificava la disponibilità di un aggiornamento. Ora, secondo il ricercatore di sicurezza Christopher Moore, OnePlus è accusata di raccogliere informazioni ancora più sensibili e di identificazione personale.
Durante una Hack Challenge a cui stava partecipando l'anno scorso, Moore ha deciso di sondare il traffico Internet del suo OnePlus 2. Ha scoperto che il suo telefono inviava richieste HTTPS al dominio open.oneplus.net. Ha decrittografato i dati utilizzando la chiave sul dispositivo ed è stato in grado di vedere tutti i dati inviati ai server AWS di OnePlus.
Ha quindi analizzato quali informazioni venivano inviate a questo dominio e ha scoperto che OnePlus raccoglieva eventi di schermo acceso, schermo spento, sblocco del dispositivo, riavvii anomali, numero di serie, IMEI, numeri di telefono, indirizzi MAC, nomi di reti mobili e prefissi IMSI, ESSID e reti wireless BSSID.
Ma l'estrazione dei dati non si ferma qui, poiché Moore ha scoperto che OxygenOS raccoglieva anche timestamp di quando apriva e chiudeva le applicazioni e anche quali attività venivano aperte.
Moore ha effettuato alcune ricerche e ha scoperto che il codice responsabile di questa raccolta di dati fa parte di OnePlus Device Manager e OnePlus Device Manager Provider, contenuto nell'applicazione di sistema OPDeviceManager.apk.
Se il tuo dispositivo non è rootato, puoi eseguire il seguente comando ADB per disabilitare questa applicazione di sistema sul tuo dispositivo OnePlus:
pmuninstall-k--user 0 net.oneplus.odm
Puoi trovare un tutorial su come configurare ADB ed eseguire questo comando trovato qui. In alternativa, se il tuo dispositivo è rootato puoi installare questo modulo Magisk.
Tutte queste informazioni vengono, ancora una volta, inviate tramite HTTPS in modo che non possano essere intercettate da nessun altro (a condizione che tu sia su una rete sicura). Tuttavia, ci si chiede cosa stia facendo OnePlus con questo tipo di informazioni. In una dichiarazione, OnePlus ha offerto la seguente spiegazione dietro le analisi che stanno raccogliendo:
Trasmettiamo in modo sicuro le analisi in due flussi diversi tramite HTTPS a un server Amazon. Il primo flusso è l'analisi dell'utilizzo, che raccogliamo per poter ottimizzare con maggiore precisione il nostro software in base al comportamento dell'utente. Questa trasmissione dell'attività di utilizzo può essere disattivata accedendo a "Impostazioni" -> "Avanzate" -> "Partecipa al programma di esperienza utente". Il secondo flusso riguarda le informazioni sul dispositivo, che raccogliamo per fornire un migliore supporto post-vendita.
Tieni presente che questa raccolta dati avviene solo su OxygenOS, quindi se hai installato una ROM personalizzata basata su AOSP come LineageOS, il tuo telefono è al sicuro dal data mining. Per un'analisi più tecnica, ti consigliamo di leggere il post sul blog originale pubblicato dal signor Moore e collegato di seguito.
Fonte: Blog sulla sicurezza e la tecnologia di Chris