OxygenOS dezvoltat de OnePlus este lăudat ca fiind una dintre cele mai bune arome OEM ale Android, dar totuși nu este lipsit de defecte. Probleme de confidențialitate din belșug.
În timp ce telefoanele OnePlus au o reputație bună pentru prețul și deschiderea către dezvoltare, compania însăși a luat unele decizii îndoielnice în trecut cu privire la modul în care acestea gestionează datele utilizatorului. La acea vreme, am descoperit că OxygenOS ar scurge IMEI-ul dispozitivului dvs. în rețea în timp ce dispozitivul verifică dacă există o actualizare. Acum, OnePlus este acuzat că a colectat informații și mai sensibile, de identificare personală, potrivit cercetătorului de securitate Christopher Moore.
În timpul unei Hack Challenge la care a participat anul trecut, Moore a decis să analizeze traficul de internet de pe OnePlus 2. El a descoperit că telefonul său trimitea solicitări HTTPS către domeniul open.oneplus.net. El a decriptat datele folosind cheia de pe dispozitiv și a putut să vadă toate datele trimise înapoi către serverele AWS ale OnePlus.
Apoi a analizat ce informații erau trimise către acest domeniu și a descoperit că OnePlus colecta evenimente de aprindere, dezactivare a ecranului, deblocare a dispozitivului, reporniri anormale, număr de serie, IMEI, numere de telefon, adrese MAC, nume de rețele mobile și prefixe IMSI și ESSID și rețea fără fir. BSSID.
Dar extragerea datelor nu se oprește aici, deoarece Moore a descoperit că OxygenOS colecta și marcaje temporale ale momentului în care a deschis și închis aplicațiile și chiar ce activități erau deschise.
Moore a făcut câteva săpături și a descoperit că codul responsabil pentru această colectare de date face parte din OnePlus Device Manager și OnePlus Device Manager Provider, care este conținut în aplicația de sistem OPDeviceManager.apk.
Dacă dispozitivul dvs. nu este rootat, atunci puteți rula următoarea comandă ADB pentru a dezactiva această aplicație de sistem pe dispozitivul dvs. OnePlus:
pmuninstall-k--user 0 net.oneplus.odmUn tutorial despre cum să configurați ADB și să rulați această comandă poate fi gasit aici. Alternativ, dacă dispozitivul este rootat, puteți instala acest modul Magisk.
Toate aceste informații sunt, din nou, trimise prin HTTPS, astfel încât să nu poată fi interceptate de nimeni altcineva (cu condiția să vă aflați într-o rețea securizată). Cu toate acestea, ne întrebăm ce face OnePlus cu acest tip de informații. Într-o declarație, OnePlus a oferit următoarea explicație în spatele analizelor pe care le colectează:
Transmitem în siguranță analizele în două fluxuri diferite prin HTTPS către un server Amazon. Primul flux este analiza utilizării, pe care o colectăm pentru a ne ajusta mai precis software-ul în funcție de comportamentul utilizatorului. Această transmitere a activității de utilizare poate fi dezactivată navigând la „Setări” -> „Avansat” -> „Alăturați-vă programului de experiență utilizator”. Al doilea flux este informații despre dispozitiv, pe care le colectăm pentru a oferi un suport post-vânzare mai bun.
Rețineți că această colectare de date are loc numai pe OxygenOS, așa că dacă aveți instalat un ROM personalizat bazat pe AOSP, cum ar fi LineageOS, atunci telefonul dvs. este protejat de extragerea de date. Pentru o defalcare mai tehnică, vă recomandăm să citiți postarea originală pe blog pe care dl. Moore a făcut-o la linkul de mai jos.
Sursa: Blogul lui Chris de securitate și tehnologie