OxygenOS utviklet av OnePlus er hyllet som en av de beste OEM-smakene av Android som finnes, men likevel er den ikke uten sine feil. Personvernhensyn i massevis.
Mens OnePlus-telefonene har et godt rykte for sin pris og åpenhet for utvikling, har selskapet selv tatt noen tvilsomme avgjørelser tidligere mht. hvordan de håndterer brukerdata. På det tidspunktet oppdaget vi at OxygenOS ville lekke enhetens IMEI til nettverket mens enheten ser etter en oppdatering. Nå er OnePlus anklaget for å samle inn enda mer sensitiv, personlig identifiserbar informasjon ifølge sikkerhetsforsker Christopher Moore.
Under en Hack Challenge han deltok i i fjor, bestemte Moore seg for å undersøke internettrafikken fra OnePlus 2. Han oppdaget at telefonen hans sendte HTTPS-forespørsler til domenet open.oneplus.net. Han dekrypterte dataene ved hjelp av nøkkelen på enheten og var i stand til å se alle dataene som ble sendt tilbake til OnePlus' AWS-servere.
Deretter analyserte han hvilken informasjon som ble sendt til dette domenet og fant ut at OnePlus samlet inn skjerm på, skjerm av, enhetsopplåsingshendelser, unormale omstarter, serienummer, IMEI, telefonnumre, MAC-adresser, mobilnettverksnavn og IMSI-prefikser, og trådløst nettverk ESSID og BSSID.
Men datautvinningen stopper ikke der, ettersom Moore fant ut at OxygenOS også samlet inn tidsstempler for når han åpnet og lukket applikasjoner og til og med hvilke aktiviteter som ble åpnet.
Moore gravde litt og oppdaget at koden som er ansvarlig for denne datainnsamlingen er en del av OnePlus Enhetsbehandling og OnePlus Device Manager-leverandøren, som finnes i systemapplikasjonen OPDeviceManager.apk.
Hvis enheten din ikke er forankret, kan du kjøre følgende ADB-kommando for å deaktivere denne systemapplikasjonen på OnePlus-enheten din:
pmuninstall-k--user 0 net.oneplus.odmEn veiledning om hvordan du setter opp ADB og kjører denne kommandoen kan være funnet her. Alternativt, hvis enheten din er forankret, kan du installere denne Magisk-modulen.
All denne informasjonen sendes igjen over HTTPS slik at den ikke kan bli fanget opp av noen andre (forutsatt at du er på et sikkert nettverk). Men man lurer på hva OnePlus gjør med denne typen informasjon. I en uttalelse ga OnePlus følgende forklaring bak analysene de samler inn:
Vi overfører sikkert analyser i to forskjellige strømmer over HTTPS til en Amazon-server. Den første strømmen er bruksanalyse, som vi samler inn for at vi mer presist kan finjustere programvaren vår i henhold til brukeratferd. Denne overføringen av bruksaktivitet kan slås av ved å gå til 'Innstillinger' -> 'Avansert' -> 'Bli med i brukeropplevelsesprogram'. Den andre strømmen er enhetsinformasjon, som vi samler inn for å gi bedre ettersalgsstøtte.
Husk at denne datainnsamlingen bare skjer på OxygenOS, så hvis du har en tilpasset AOSP-basert ROM installert som LineageOS, er telefonen din trygg fra datautvinning. For en mer teknisk oversikt, anbefaler vi at du leser det originale blogginnlegget som Mr. Moore laget med lenken nedenfor.
Kilde: Chris's Security and Tech Blog