OxygenOS, разработанная OnePlus, считается одной из лучших OEM-версий Android, но, тем не менее, она не лишена недостатков. Конфиденциальность беспокоит в изобилии.
Хотя телефоны OnePlus имеют хорошую репутацию благодаря своей цене и открытости для развития, сама компания в прошлом принимала некоторые сомнительные решения в отношении как они обрабатывают пользовательские данные. В то время мы обнаружили, что OxygenOS передает IMEI вашего устройства в сеть, пока ваше устройство проверяет наличие обновлений. Теперь, по словам исследователя безопасности Кристофера Мура, OnePlus обвиняется в сборе еще более конфиденциальной информации, позволяющей установить личность.
Во время Hack Challenge, в котором он участвовал в прошлом году, Мур решил проверить интернет-трафик своего OnePlus 2. Он обнаружил, что его телефон отправляет HTTPS-запросы на домен open.oneplus.net. Он расшифровал данные с помощью ключа на устройстве и смог увидеть, как все данные отправляются обратно на серверы AWS OnePlus.
Затем он проанализировал, какая информация отправляется в этот домен, и обнаружил, что OnePlus собирает события включения, выключения экрана, разблокировки устройства и т. д. ненормальные перезагрузки, серийный номер, IMEI, номера телефонов, MAC-адреса, имена мобильных сетей и префиксы IMSI, а также ESSID беспроводной сети и БССИД.
Но на этом сбор данных не заканчивается: Мур обнаружил, что OxygenOS также собирает временные метки того, когда он открывал и закрывал приложения, и даже какие действия открывались.
Мур покопался и обнаружил, что код, отвечающий за сбор данных, является частью OnePlus. Диспетчер устройств и поставщик диспетчера устройств OnePlus, который содержится в системном приложении. OPDeviceManager.apk.
Если ваше устройство не рутировано, вы можете запустить следующую команду ADB, чтобы отключить это системное приложение на вашем устройстве OnePlus:
pmuninstall-k--user 0 net.oneplus.odm
Учебник о том, как настроить ADB и запустить эту команду, можно найти нашел здесь. Альтернативно, если ваше устройство рутировано, вы можете установить этот модуль Magisk.
Вся эта информация снова отправляется по протоколу HTTPS, поэтому никто другой не может ее перехватить (при условии, что вы находитесь в защищенной сети). Хотя интересно, что OnePlus делает с такой информацией. В своем заявлении OnePlus предложила следующее объяснение собираемой аналитики:
Мы безопасно передаем аналитику в двух разных потоках по HTTPS на сервер Amazon. Первый поток — это аналитика использования, которую мы собираем, чтобы более точно настроить наше программное обеспечение в соответствии с поведением пользователей. Эту передачу информации об использовании можно отключить, перейдя в «Настройки» -> «Дополнительно» -> «Присоединиться к программе взаимодействия с пользователем». Второй поток — это информация об устройстве, которую мы собираем, чтобы обеспечить лучшую послепродажную поддержку.
Имейте в виду, что этот сбор данных происходит только в OxygenOS, поэтому, если у вас установлено специальное ПЗУ на основе AOSP, такое как LineageOS, ваш телефон защищён от интеллектуального анализа данных. Для получения более подробной технической информации мы рекомендуем вам прочитать исходное сообщение в блоге г-на Мура, ссылка на которое приведена ниже.
Источник: Блог Криса по безопасности и технологиям.