OnePlus が開発した OxygenOS は、Android の最高の OEM フレーバーの 1 つとして称賛されていますが、それでも欠陥がないわけではありません。 プライバシーに関する懸念は山積しています。
OnePlus スマートフォンはその価格と開発に対するオープンさで定評がありますが、同社自体が過去にいくつかの疑わしい決定を下しています。 ユーザーデータをどのように扱うか. その時点で、デバイスがアップデートをチェックしている間に、OxygenOS がデバイスの IMEI をネットワーク上に漏らす可能性があることを発見しました。 セキュリティ研究者のクリストファー・ムーア氏によると、現在、OnePlusはさらに機密性の高い個人を特定できる情報を収集しているとして告発されているという。
昨年参加していたハック チャレンジ中に、ムーア氏は OnePlus 2 からインターネット トラフィックを調査することにしました。 彼は、自分の携帯電話が HTTPS リクエストをドメイン open.oneplus.net に送信していることを発見しました。 彼はデバイス上のキーを使用してデータを復号化し、すべてのデータが OnePlus の AWS サーバーに送り返されることを確認できました。
次に、どのような情報がこのドメインに送信されているかを分析したところ、OnePlus が画面オン、画面オフ、デバイスのロック解除イベントなどを収集していることがわかりました。 異常な再起動、シリアル番号、IMEI、電話番号、MAC アドレス、モバイル ネットワーク名と IMSI プレフィックス、ワイヤレス ネットワークの ESSID および BSSID。
しかし、データマイニングはそこで終わりません。ムーア氏は、OxygenOS がアプリケーションを開いたり閉じたりしたとき、さらにはどのアクティビティが開かれていたのかのタイムスタンプも収集していることを発見しました。
ムーア氏は調査を行った結果、このデータ収集を担当するコードが OnePlus の一部であることを発見しました。 デバイス マネージャーと OnePlus デバイス マネージャー プロバイダー (システム アプリケーションに含まれています) OPDeviceManager.apk。
デバイスが root 化されていない場合は、次の ADB コマンドを実行して、OnePlus デバイス上のこのシステム アプリケーションを無効にすることができます。
pmuninstall-k--user 0 net.oneplus.odmADB を設定してこのコマンドを実行する方法に関するチュートリアルは、次のとおりです。 ここで見つかりました. または、デバイスがルート化されている場合は、次のようにインストールできます。 このMagiskモジュール.
この情報もすべて HTTPS 経由で送信されるため、他の人が傍受することはできません (安全なネットワーク上にある場合)。 ただし、OnePlus がこの種の情報を使って何をしているのか疑問に思う人もいるでしょう。 OnePlus は声明の中で、収集している分析の背後にある次の説明を提供しました。
分析は 2 つの異なるストリームで HTTPS 経由で Amazon サーバーに安全に送信されます。 最初のストリームは使用状況分析です。これは、ユーザーの行動に応じてソフトウェアをより正確に微調整するために収集されます。 この使用状況の送信は、[設定] -> [詳細] -> [ユーザー エクスペリエンス プログラムに参加] に移動してオフにできます。 2 番目のストリームはデバイス情報であり、より良いアフターセールス サポートを提供するために収集されます。
このデータ収集は OxygenOS 上でのみ行われるため、LineageOS などのカスタム AOSP ベースの ROM がインストールされている場合、携帯電話はデータマイニングから安全であることに注意してください。 より技術的な詳細については、以下にリンクされているムーア氏の元のブログ投稿を読むことをお勧めします。
出典: Chris のセキュリティと技術ブログ