OnePlus에서 개발한 OxygenOS는 최고의 Android OEM 버전 중 하나로 칭찬을 받고 있지만 결함이 없는 것은 아닙니다. 개인 정보 보호에 대한 우려가 많습니다.
OnePlus 휴대폰은 가격과 개발 개방성으로 좋은 평판을 얻고 있지만 회사 자체는 과거에 다음과 관련하여 몇 가지 의심스러운 결정을 내렸습니다. 사용자 데이터를 처리하는 방법. 당시 우리는 OxygenOS가 장치가 업데이트를 확인하는 동안 장치의 IMEI를 네트워크에 유출한다는 사실을 발견했습니다. 이제 보안 연구원인 크리스토퍼 무어(Christopher Moore)에 따르면 OnePlus는 훨씬 더 민감하고 개인 식별이 가능한 정보를 수집했다는 비난을 받았습니다.
무어는 지난해 해킹 챌린지에 참가하면서 자신의 OnePlus 2에서 인터넷 트래픽을 조사하기로 결정했습니다. 그는 자신의 전화기가 open.oneplus.net 도메인으로 HTTPS 요청을 보내고 있다는 것을 발견했습니다. 그는 온디바이스 키를 사용하여 데이터의 암호를 해독했으며 OnePlus의 AWS 서버로 다시 전송되는 모든 데이터를 볼 수 있었습니다.
그런 다음 그는 이 도메인으로 전송되는 정보를 분석하여 OnePlus가 화면 켜기, 화면 끄기, 장치 잠금 해제 이벤트를 수집하고 있음을 발견했습니다. 비정상적인 재부팅, 일련번호, IMEI, 전화번호, MAC 주소, 모바일 네트워크 이름 및 IMSI 접두사, 무선 네트워크 ESSID 및 BSSID.
그러나 데이터 마이닝은 여기서 끝나지 않습니다. Moore는 OxygenOS가 애플리케이션을 열고 닫은 시점, 심지어 어떤 활동이 열려 있는지에 대한 타임스탬프도 수집하고 있다는 사실을 발견했습니다.
Moore는 몇 가지 조사를 통해 이 데이터 수집을 담당하는 코드가 OnePlus의 일부라는 것을 발견했습니다. 시스템 애플리케이션에 포함된 장치 관리자 및 OnePlus Device Manager Provider OPDeviceManager.apk.
장치가 루팅되지 않은 경우 다음 ADB 명령을 실행하여 OnePlus 장치에서 이 시스템 애플리케이션을 비활성화할 수 있습니다.
pmuninstall-k--user 0 net.oneplus.odmADB를 설정하고 이 명령을 실행하는 방법에 대한 튜토리얼은 다음과 같습니다. 여기에서 발견. 또는 장치가 루팅된 경우 설치할 수 있습니다. 이 Magisk 모듈.
이 모든 정보는 다시 HTTPS를 통해 전송되므로 다른 사람이 가로챌 수 없습니다(보안 네트워크에 있는 경우). 하지만 OnePlus가 이런 종류의 정보로 무엇을 하는지 궁금합니다. 성명서에서 OnePlus는 수집 중인 분석에 대해 다음과 같은 설명을 제공했습니다.
우리는 HTTPS를 통해 두 가지 다른 스트림의 분석을 Amazon 서버로 안전하게 전송합니다. 첫 번째 스트림은 사용자 행동에 따라 소프트웨어를 보다 정확하게 미세 조정하기 위해 수집하는 사용 분석입니다. 이러한 사용 활동 전송은 '설정' -> '고급' -> '사용자 체험 프로그램 참여'로 이동하여 끌 수 있습니다. 두 번째 스트림은 더 나은 판매 후 지원을 제공하기 위해 수집하는 장치 정보입니다.
이 데이터 수집은 OxygenOS에서만 발생하므로 LineageOS와 같은 맞춤형 AOSP 기반 ROM이 설치되어 있으면 휴대폰은 데이터 마이닝으로부터 안전합니다. 보다 기술적인 분석을 보려면 Moore 씨가 아래에 링크한 원본 블로그 게시물을 읽어 보시기 바랍니다.
출처: Chris의 보안 및 기술 블로그