OnePlus-ის მიერ შემუშავებული OxygenOS აღიარებულია, როგორც Android-ის ერთ-ერთი საუკეთესო OEM გემო, მაგრამ მაინც არ არის მისი ხარვეზების გარეშე. კონფიდენციალურობა ბევრს ეხება.
მიუხედავად იმისა, რომ OnePlus ტელეფონებს აქვთ კარგი რეპუტაცია მათი ფასისა და განვითარებისთვის ღიაობის გამო, თავად კომპანიამ წარსულში მიიღო საეჭვო გადაწყვეტილებები. როგორ ამუშავებენ მომხმარებლის მონაცემებს. იმ დროს, ჩვენ აღმოვაჩინეთ, რომ OxygenOS-მა გააჟონა თქვენი მოწყობილობის IMEI ქსელში, სანამ თქვენი მოწყობილობა ამოწმებს განახლებას. უსაფრთხოების მკვლევარის კრისტოფერ მურის თქმით, ახლა OnePlus-ს ადანაშაულებენ კიდევ უფრო მგრძნობიარე, პირადად ამოცნობადი ინფორმაციის შეგროვებაში.
Hack Challenge-ის დროს, რომელშიც ის მონაწილეობდა გასულ წელს, მურმა გადაწყვიტა გამოეკვლია ინტერნეტ ტრაფიკი მისი OnePlus 2-დან. მან აღმოაჩინა, რომ მისი ტელეფონი აგზავნიდა HTTPS მოთხოვნებს დომენზე open.oneplus.net. მან გაშიფრა მონაცემები მოწყობილობის გასაღების გამოყენებით და შეძლო დაენახა ყველა მონაცემი, რომელიც უკან იგზავნებოდა OnePlus-ის AWS სერვერებზე.
შემდეგ მან გააანალიზა რა ინფორმაცია იგზავნება ამ დომენში და აღმოაჩინა, რომ OnePlus აგროვებდა ეკრანის ჩართვის, ეკრანის გამორთვის, მოწყობილობის განბლოკვის მოვლენებს, არანორმალური გადატვირთვები, სერიული ნომერი, IMEI, ტელეფონის ნომრები, MAC მისამართები, მობილური ქსელების სახელები და IMSI პრეფიქსები და უკაბელო ქსელი ESSID და BSSID.
მაგრამ მონაცემთა მოპოვება აქ არ ჩერდება, რადგან მურმა აღმოაჩინა, რომ OxygenOS ასევე აგროვებდა დროის ნიშანს იმის შესახებ, თუ როდის გახსნა და დახურა აპლიკაციები და კიდევ რომელი აქტივობები იხსნება.
მურმა ჩაატარა გარკვეული გათხრა და აღმოაჩინა, რომ კოდი, რომელიც პასუხისმგებელია ამ მონაცემთა შეგროვებაზე, არის OnePlus-ის ნაწილი Device Manager და OnePlus Device Manager Provider, რომელიც შეიცავს სისტემის აპლიკაციას OPDeviceManager.apk.
თუ თქვენი მოწყობილობა არ არის დაყენებული, მაშინ შეგიძლიათ გაუშვათ შემდეგი ADB ბრძანება, რათა გამორთოთ ეს სისტემის აპლიკაცია თქვენს OnePlus მოწყობილობაზე:
pmuninstall-k--user 0 net.oneplus.odmშეიძლება იყოს გაკვეთილი, თუ როგორ უნდა დააყენოთ ADB და გაუშვათ ეს ბრძანება ნაპოვნია აქ. ალტერნატიულად, თუ თქვენი მოწყობილობა როტირებულია, შეგიძლიათ დააინსტალიროთ ამ Magisk მოდული.
მთელი ეს ინფორმაცია კვლავ იგზავნება HTTPS-ის საშუალებით, ასე რომ, სხვა ვერ შეძლებს მის ჩარევას (იმ პირობით, რომ თქვენ ხართ დაცულ ქსელში). თუმცა, აინტერესებს, რას აკეთებს OnePlus ამ სახის ინფორმაციასთან. განცხადებაში OnePlus-მა შესთავაზა შემდეგი ახსნა იმ ანალიტიკის უკან, რომელსაც ისინი აგროვებენ:
ჩვენ უსაფრთხოდ გადავცემთ ანალიტიკას ორ სხვადასხვა ნაკადში HTTPS-ის საშუალებით Amazon სერვერზე. პირველი ნაკადი არის გამოყენების ანალიტიკა, რომელსაც ვაგროვებთ იმისათვის, რომ უფრო ზუსტად დავაზუსტოთ ჩვენი პროგრამული უზრუნველყოფა მომხმარებლის ქცევის მიხედვით. გამოყენების აქტივობის ამ გადაცემის გამორთვა შესაძლებელია "პარამეტრები" -> "გაფართოებული" -> "მომხმარებლის გამოცდილების პროგრამაში შეერთება" ნავიგაციით. მეორე ნაკადი არის მოწყობილობის ინფორმაცია, რომელსაც ჩვენ ვაგროვებთ გაყიდვების შემდგომი უკეთესი მხარდაჭერის უზრუნველსაყოფად.
გაითვალისწინეთ, რომ მონაცემთა ეს შეგროვება ხდება მხოლოდ OxygenOS-ზე, ასე რომ, თუ თქვენ გაქვთ დაინსტალირებული მორგებული AOSP-ზე დაფუძნებული ROM, როგორიცაა LineageOS, მაშინ თქვენი ტელეფონი დაცულია მონაცემთა მოპოვებისგან. უფრო ტექნიკური დეტალებისთვის, გირჩევთ, წაიკითხოთ ბლოგის თავდაპირველი პოსტი, რომელიც მისტერ მურმა გააკეთა ქვემოთ მოცემულ ბმულზე.
წყარო: კრისის უსაფრთხოების და ტექნიკური ბლოგი