OnePlus izstrādātā OxygenOS tiek slavēta kā viena no labākajām Android OEM versijām, taču tā nav bez trūkumiem. Daudzas bažas par privātumu.
Lai gan OnePlus tālruņiem ir laba reputācija, ņemot vērā to cenu un atvērtību attīstībai, uzņēmums pats pagātnē ir pieņēmis dažus apšaubāmus lēmumus attiecībā uz kā viņi apstrādā lietotāja datus. Toreiz mēs atklājām, ka OxygenOS noplūdīs jūsu ierīces IMEI tīklā, kamēr ierīce pārbaudīs atjauninājumu. Tagad OnePlus tiek apsūdzēts vēl sensitīvākas, personiski identificējamas informācijas savākšanā, saskaņā ar drošības pētnieka Kristofera Mūra teikto.
Hack Challenge laikā, kurā viņš piedalījās pagājušajā gadā, Mūrs nolēma pārbaudīt interneta trafiku no sava OnePlus 2. Viņš atklāja, ka viņa tālrunis sūta HTTPS pieprasījumus uz domēnu open.oneplus.net. Viņš atšifrēja datus, izmantojot ierīcē esošo atslēgu, un varēja redzēt, ka visi dati tiek nosūtīti atpakaļ uz OnePlus AWS serveriem.
Pēc tam viņš analizēja, kāda informācija tika nosūtīta uz šo domēnu, un konstatēja, ka OnePlus vāc ekrāna ieslēgšanas, izslēgšanas un ierīces atbloķēšanas notikumus, neparasta atsāknēšana, sērijas numurs, IMEI, tālruņu numuri, MAC adreses, mobilo sakaru tīklu(-u) nosaukumi un IMSI prefiksi, kā arī bezvadu tīkla ESSID un BSSID.
Taču datu ieguve ar to nebeidzas, jo Mūrs atklāja, ka OxygenOS vāca arī laika zīmogus par to, kad viņš atvēra un aizvēra lietojumprogrammas un pat par to, kuras darbības tika atvērtas.
Mūrs veica nelielu rakšanu un atklāja, ka kods, kas ir atbildīgs par šo datu vākšanu, ir daļa no OnePlus Ierīču pārvaldnieks un OnePlus ierīču pārvaldnieka nodrošinātājs, kas ir iekļauts sistēmas lietojumprogrammā OPDeviceManager.apk.
Ja jūsu ierīcei nav saknes, varat palaist šo ADB komandu, lai atspējotu šo sistēmas lietojumprogrammu savā OnePlus ierīcē:
pmuninstall-k--user 0 net.oneplus.odm
Var būt apmācība par ADB iestatīšanu un šīs komandas palaišanu atrasts šeit. Varat arī instalēt, ja jūsu ierīcei ir saknes tiesības šis Magisk modulis.
Visa šī informācija atkal tiek nosūtīta, izmantojot HTTPS, tāpēc to nevar pārtvert neviens cits (ja atrodaties drošā tīklā). Tomēr rodas jautājums, ko OnePlus dara ar šāda veida informāciju. Paziņojumā OnePlus piedāvāja šādu skaidrojumu par apkopoto analīzi:
Mēs droši pārsūtām analīzi divās dažādās straumēs, izmantojot HTTPS, uz Amazon serveri. Pirmā straume ir lietojuma analīze, ko apkopojam, lai mēs varētu precīzāk pielāgot savu programmatūru atbilstoši lietotāju uzvedībai. Šo lietojuma darbību pārraidi var izslēgt, dodoties uz “Iestatījumi” -> “Papildu” -> “Pievienoties lietotāja pieredzes programmai”. Otrā plūsma ir ierīces informācija, ko apkopojam, lai nodrošinātu labāku pēcpārdošanas atbalstu.
Ņemiet vērā, ka šī datu vākšana notiek tikai operētājsistēmā OxygenOS, tādēļ, ja jums ir instalēta pielāgota AOSP ROM, piemēram, LineageOS, tālrunis ir aizsargāts pret datu ieguvi. Lai iegūtu tehnisku informāciju, iesakām izlasīt oriģinālo emuāra ziņu, uz kuru Mūra kungs pievienoja tālāk norādīto saiti.
Avots: Krisa drošības un tehnoloģiju emuārs