OxygenOS כורת לכאורה מידע אישי מזהה עבור Analytics

תמצית חדשות XdaNov 13, 2023
click fraud protection

OxygenOS שפותחה על ידי OnePlus זוכה לשבחים כאחד מטעמי ה-OEM הטובים ביותר של אנדרואיד, אך עם זאת הוא לא חף מפגמים. דאגות פרטיות למכביר.

בעוד שלטלפונים של OnePlus יש מוניטין טוב במחיר שלהם ובפתיחות לפיתוח, החברה עצמה קיבלה כמה החלטות מפוקפקות בעבר בנוגע ל כיצד הם מטפלים בנתוני משתמשים. באותו זמן, גילינו ש-OxygenOS ידליף את ה-IMEI של המכשיר שלך לרשת בזמן שהמכשיר שלך יחפש עדכון. כעת, OnePlus מואשמת באיסוף מידע רגיש אפילו יותר מזהה אישי על פי חוקר האבטחה כריסטופר מור.

במהלך אתגר Hack בו השתתף בשנה שעברה, מור החליט לחקור את תעבורת האינטרנט מה-OnePlus 2 שלו. הוא גילה שהטלפון שלו שולח בקשות HTTPS לדומיין open.oneplus.net. הוא פענח את הנתונים באמצעות המפתח שבמכשיר והצליח לראות את כל הנתונים נשלחים בחזרה לשרתי ה-AWS של OnePlus.

לאחר מכן הוא ניתח איזה מידע נשלח לדומיין הזה וגילה ש-OnePlus אוסף אירועי מסך מופעל, כיבוי, ביטול נעילת מכשיר, אתחולים לא נורמליים, מספר סידורי, IMEI, מספרי טלפון, כתובות MAC, שמות רשתות סלולריות וקידומות IMSI, ורשת אלחוטית ESSID ו BSSID.

אבל כריית הנתונים לא נעצרת שם, שכן מור גילה ש-OxygenOS גם אוסף חותמות זמן של מתי הוא פתח וסגר אפליקציות ואפילו אילו פעילויות נפתחות.

מור חפר קצת וגילה שהקוד שאחראי לאיסוף הנתונים הזה הוא חלק מה-OnePlus מנהל ההתקנים וספק מנהל ההתקנים של OnePlus, הכלול באפליקציית המערכת OPDeviceManager.apk.

אם המכשיר שלך אינו מושרש, תוכל להפעיל את פקודת ה-ADB הבאה כדי להשבית את יישום המערכת הזה במכשיר ה-OnePlus שלך:

pmuninstall-k--user 0 net.oneplus.odm

מדריך כיצד להגדיר ADB ולהפעיל פקודה זו יכול להיות נמצא כאן. לחלופין, אם המכשיר שלך מושרש אתה יכול להתקין מודול Magisk זה.

כל המידע הזה נשלח, שוב, ב-HTTPS כך שאף אחד אחר לא יוכל ליירט אותו (בתנאי שאתה ברשת מאובטחת). עם זאת, אפשר לתהות מה OnePlus עושה עם מידע מסוג זה. בהצהרה, OnePlus הציעה את ההסבר הבא מאחורי הניתוח שהם אוספים:

אנו מעבירים ניתוח מאובטח בשני זרמים שונים באמצעות HTTPS לשרת אמזון. הזרם הראשון הוא ניתוח שימוש, שאנו אוספים על מנת שנוכל לכוונן בצורה מדויקת יותר את התוכנה שלנו בהתאם להתנהגות המשתמש. ניתן לבטל שידור זה של פעילות שימוש על ידי ניווט אל 'הגדרות' -> 'מתקדם' -> 'הצטרף לתוכנית חווית משתמש'. הזרם השני הוא מידע על המכשיר, שאנו אוספים כדי לספק תמיכה טובה יותר לאחר המכירה.

זכור שאיסוף נתונים זה מתרחש רק ב-OxygenOS, כך שאם מותקן לך ROM מבוסס AOSP מותאם אישית כגון LineageOS, הטלפון שלך בטוח מכריית נתונים. לפירוט טכני יותר, אנו ממליצים לקרוא את הפוסט המקורי בבלוג שמר מור עשה בקישור למטה.

מקור: בלוג האבטחה והטכנולוגיה של כריס