„OnePlus“ sukurtas „OxygenOS“ yra giriamas kaip vienas geriausių „Android“ originalios įrangos gamintojų, tačiau jis nėra be trūkumų. Privatumo susirūpinimą kelia daug.
Nors OnePlus telefonai turi gerą reputaciją dėl savo kainos ir atvirumo plėtrai, pati bendrovė praeityje priėmė keletą abejotinų sprendimų, susijusių su kaip jie tvarko vartotojo duomenis. Tuo metu nustatėme, kad „OxygenOS“ nutekės jūsų įrenginio IMEI į tinklą, kol įrenginys tikrins, ar nėra naujinimo. Dabar, pasak saugumo tyrinėtojo Christopherio Moore'o, „OnePlus“ kaltinamas renkant dar jautresnę, asmenį identifikuojančią informaciją.
Per „Hack Challenge“, kuriame dalyvavo praėjusiais metais, Moore'as nusprendė ištirti interneto srautą iš savo „OnePlus 2“. Jis atrado, kad jo telefonas siunčia HTTPS užklausas į domeną open.oneplus.net. Jis iššifravo duomenis naudodamas įrenginyje esantį raktą ir galėjo matyti visus duomenis, siunčiamus atgal į „OnePlus“ AWS serverius.
Tada jis išanalizavo, kokia informacija buvo siunčiama į šį domeną, ir nustatė, kad „OnePlus“ renka ekrano įjungimo, išjungimo, įrenginio atrakinimo įvykius, nenormalus paleidimas iš naujo, serijos numeris, IMEI, telefonų numeriai, MAC adresai, mobiliojo ryšio tinklo (-ių) pavadinimai ir IMSI prefiksai bei belaidžio tinklo ESSID ir BSSID.
Tačiau duomenų gavyba tuo nesibaigia, nes Moore'as išsiaiškino, kad „OxygenOS“ taip pat rinko laiko žymes, kada jis atidarė ir uždarė programas ir net kokia veikla buvo atidaryta.
Moore'as šiek tiek tyrinėjo ir išsiaiškino, kad už šį duomenų rinkimą atsakingas kodas yra „OnePlus“ dalis Įrenginių tvarkytuvė ir „OnePlus“ įrenginių tvarkytuvės teikėjas, kuris yra sistemos programoje OPDeviceManager.apk.
Jei jūsų įrenginys nėra įsišaknijęs, galite paleisti šią ADB komandą, kad išjungtumėte šią sistemos programą „OnePlus“ įrenginyje:
pmuninstall-k--user 0 net.oneplus.odmGali būti pamoka, kaip nustatyti ADB ir paleisti šią komandą rasti čia. Arba, jei jūsų įrenginys yra įsišaknijęs, galite jį įdiegti šis Magisk modulis.
Visa ši informacija vėlgi siunčiama per HTTPS, kad niekas kitas jos negalėtų perimti (jei esate saugiame tinkle). Tačiau kyla klausimas, ką „OnePlus“ daro su tokia informacija. Pareiškime „OnePlus“ pateikė tokį renkamos analizės paaiškinimą:
Saugiai perduodame analizę dviem skirtingais srautais per HTTPS į „Amazon“ serverį. Pirmasis srautas yra naudojimo analizė, kurią renkame, kad galėtume tiksliau sureguliuoti programinę įrangą pagal vartotojo elgesį. Šį naudojimo veiklos perdavimą galima išjungti nuėjus į „Nustatymai“ -> „Išplėstinė“ -> „Prisijungti prie vartotojo patirties programos“. Antrasis srautas yra įrenginio informacija, kurią renkame, kad galėtume teikti geresnį aptarnavimą po pardavimo.
Atminkite, kad šis duomenų rinkimas vyksta tik naudojant OxygenOS, taigi, jei turite įdiegtą tinkintą AOSP pagrįstą ROM, pvz., LineageOS, jūsų telefonas yra apsaugotas nuo duomenų gavybos. Jei norite sužinoti daugiau techninio suskirstymo, rekomenduojame perskaityti originalų tinklaraščio įrašą, kurį toliau nurodė ponas Moore'as.
Šaltinis: Chris's Security and Tech Blog