OxygenOS rzekomo wykorzystuje dane osobowe do celów analitycznych

OxygenOS opracowany przez OnePlus jest chwalony jako jedna z najlepszych dostępnych wersji OEM Androida, ale nie jest pozbawiony wad. Mnóstwo problemów związanych z prywatnością.

O ile telefony OnePlus cieszą się dobrą opinią ze względu na cenę i otwartość na rozwój, o tyle sama firma podjęła w przeszłości pewne wątpliwe decyzje dotyczące jak radzą sobie z danymi użytkowników. Odkryliśmy wówczas, że OxygenOS wycieka IMEI Twojego urządzenia do sieci, gdy urządzenie sprawdza dostępność aktualizacji. Według badacza bezpieczeństwa Christophera Moore’a OnePlus jest oskarżany o gromadzenie jeszcze bardziej wrażliwych danych osobowych.

Podczas zeszłorocznego wyzwania hakerskiego, w którym brał udział, Moore postanowił zbadać ruch internetowy na swoim OnePlus 2. Odkrył, że jego telefon wysyła żądania HTTPS do domeny open.oneplus.net. Odszyfrował dane za pomocą klucza znajdującego się na urządzeniu i był w stanie zobaczyć, jak wszystkie dane są wysyłane z powrotem na serwery AWS OnePlus.

Następnie przeanalizował, jakie informacje są wysyłane do tej domeny i odkrył, że OnePlus zbiera zdarzenia związane z włączeniem, wyłączeniem ekranu i odblokowaniem urządzenia, nieprawidłowe ponowne uruchomienie, numer seryjny, IMEI, numery telefonów, adresy MAC, nazwy sieci komórkowych i prefiksy IMSI oraz identyfikator ESSID i identyfikator sieci bezprzewodowej BSSID.

Na tym jednak eksploracja danych się nie kończy, ponieważ Moore odkrył, że OxygenOS zbiera również znaczniki czasu otwierania i zamykania aplikacji, a nawet tego, które działania były otwierane.

Moore trochę poszperał i odkrył, że kod odpowiedzialny za gromadzenie danych jest częścią OnePlus Menedżer urządzeń i Dostawca menedżera urządzeń OnePlus, który jest zawarty w aplikacji systemowej OPDeviceManager.apk.

Jeśli Twoje urządzenie nie jest zrootowane, możesz uruchomić następujące polecenie ADB, aby wyłączyć tę aplikację systemową na urządzeniu OnePlus:

pmuninstall-k--user 0 net.oneplus.odm

Samouczek dotyczący konfigurowania ADB i uruchamiania tego polecenia może być znalezione tutaj. Alternatywnie, jeśli Twoje urządzenie jest zrootowane, możesz zainstalować ten moduł Magisk.

Wszystkie te informacje są ponownie przesyłane za pośrednictwem protokołu HTTPS, więc nikt inny nie może ich przechwycić (pod warunkiem, że korzystasz z bezpiecznej sieci). Można się jednak zastanawiać, co OnePlus robi z tego rodzaju informacjami. W oświadczeniu OnePlus przedstawił następujące wyjaśnienie gromadzonych analiz:

Bezpiecznie przesyłamy analizy w dwóch różnych strumieniach za pośrednictwem protokołu HTTPS do serwera Amazon. Pierwszy strumień to analityka użytkowania, którą zbieramy, aby móc precyzyjniej dopasowywać nasze oprogramowanie do zachowań użytkowników. Tę transmisję informacji o użytkowaniu można wyłączyć, przechodząc do „Ustawienia” -> „Zaawansowane” -> „Dołącz do programu obsługi użytkownika”. Drugi strumień to informacje o urządzeniu, które zbieramy, aby zapewnić lepszą obsługę posprzedażową.

Należy pamiętać, że to gromadzenie danych odbywa się tylko w systemie OxygenOS, więc jeśli masz zainstalowaną niestandardową pamięć ROM opartą na AOSP, taką jak LineageOS, Twój telefon jest bezpieczny przed eksploracją danych. Aby zapoznać się z bardziej technicznym opisem, zalecamy przeczytanie oryginalnego wpisu na blogu, który umieścił pan Moore, do którego link znajduje się poniżej.


Źródło: Blog Chrisa o bezpieczeństwie i technologii