O OxygenOS desenvolvido pela OnePlus é elogiado como um dos melhores sabores OEM do Android, mas ainda assim tem suas falhas. Muitas preocupações com privacidade.
Embora os telefones OnePlus tenham uma boa reputação por seu preço e abertura ao desenvolvimento, a própria empresa tomou algumas decisões questionáveis no passado em relação a como eles lidam com os dados do usuário. Na época, descobrimos que o OxygenOS vazaria o IMEI do seu dispositivo na rede enquanto o dispositivo verificava se havia uma atualização. Agora, o OnePlus é acusado de coletar informações ainda mais confidenciais e de identificação pessoal, de acordo com o pesquisador de segurança Christopher Moore.
Durante um Hack Challenge do qual participou no ano passado, Moore decidiu investigar o tráfego de Internet de seu OnePlus 2. Ele descobriu que seu telefone estava enviando solicitações HTTPS para o domínio open.oneplus.net. Ele descriptografou os dados usando a chave do dispositivo e conseguiu ver todos os dados sendo enviados de volta aos servidores AWS da OnePlus.
Ele então analisou quais informações estavam sendo enviadas para este domínio e descobriu que o OnePlus estava coletando tela ligada, tela desligada, eventos de desbloqueio de dispositivo, reinicializações anormais, número de série, IMEI, números de telefone, endereços MAC, nomes de redes móveis e prefixos IMSI e rede sem fio ESSID e BSSID.
Mas a mineração de dados não para por aí, pois Moore descobriu que o OxygenOS também coletava carimbos de data e hora de quando ele abria e fechava aplicativos e até mesmo quais atividades estavam sendo abertas.
Moore fez algumas pesquisas e descobriu que o código responsável por esta coleta de dados faz parte do OnePlus Device Manager e o OnePlus Device Manager Provider, que está contido no aplicativo do sistema OPDeviceManager.apk.
Se o seu dispositivo não estiver enraizado, você pode executar o seguinte comando ADB para desativar este aplicativo do sistema no seu dispositivo OnePlus:
pmuninstall-k--user 0 net.oneplus.odm
Um tutorial sobre como configurar o ADB e executar este comando pode ser encontrado aqui. Alternativamente, se o seu dispositivo estiver enraizado, você pode instalar este módulo Magisk.
Todas essas informações são, novamente, enviadas por HTTPS para que não possam ser interceptadas por mais ninguém (desde que você esteja em uma rede segura). Porém, nos perguntamos o que o OnePlus está fazendo com esse tipo de informação. Em um comunicado, o OnePlus ofereceu a seguinte explicação por trás das análises que está coletando:
Transmitimos análises com segurança em dois fluxos diferentes por HTTPS para um servidor Amazon. O primeiro fluxo é a análise de uso, que coletamos para que possamos ajustar nosso software com mais precisão de acordo com o comportamento do usuário. Esta transmissão de atividade de uso pode ser desativada navegando até ‘Configurações’ -> ‘Avançado’ -> ‘Aderir ao programa de experiência do usuário’. O segundo fluxo são as informações do dispositivo, que coletamos para fornecer um melhor suporte pós-venda.
Lembre-se de que essa coleta de dados ocorre apenas no OxygenOS; portanto, se você tiver uma ROM personalizada baseada em AOSP instalada, como o LineageOS, seu telefone estará protegido contra mineração de dados. Para uma análise mais técnica, recomendamos que você leia a postagem original do blog que o Sr. Moore fez no link abaixo.
Fonte: Blog de segurança e tecnologia de Chris