OxygenOS vyvinutý spoločnosťou OnePlus je chválený ako jedna z najlepších verzií OEM Androidu, no napriek tomu nie je bez chýb. Množstvo obáv o súkromie.
Zatiaľ čo telefóny OnePlus majú dobrú povesť pre svoju cenu a otvorenosť vývoju, samotná spoločnosť urobila v minulosti niekoľko sporných rozhodnutí, pokiaľ ide o ako nakladajú s používateľskými údajmi. V tom čase sme zistili, že OxygenOS unikne IMEI vášho zariadenia do siete, kým vaše zariadenie skontroluje dostupnosť aktualizácie. Podľa bezpečnostného výskumníka Christophera Moorea je teraz OnePlus obvinený zo zhromažďovania ešte citlivejších, osobne identifikovateľných informácií.
Počas Hack Challenge, na ktorej sa zúčastnil minulý rok, sa Moore rozhodol preskúmať internetovú prevádzku zo svojho OnePlus 2. Zistil, že jeho telefón odosiela HTTPS požiadavky na doménu open.oneplus.net. Údaje dešifroval pomocou kľúča na zariadení a mohol vidieť, že všetky údaje sa odosielajú späť na servery AWS spoločnosti OnePlus.
Potom analyzoval, aké informácie sa odosielali do tejto domény a zistil, že OnePlus zbieral udalosti zapnutia, vypnutia obrazovky, odomknutia zariadenia, abnormálne reštarty, sériové číslo, IMEI, telefónne čísla, MAC adresy, názvy mobilných sietí a predpony IMSI a ESSID bezdrôtovej siete a BSSID.
Tým sa však dolovanie údajov nekončí, pretože Moore zistil, že OxygenOS zbieral aj časové pečiatky o tom, kedy otváral a zatváral aplikácie a dokonca aj o tom, ktoré aktivity sa otvárali.
Moore urobil nejaké kopanie a zistil, že kód zodpovedný za tento zber údajov je súčasťou OnePlus Device Manager a OnePlus Device Manager Provider, ktorý sa nachádza v systémovej aplikácii OPDeviceManager.apk.
Ak vaše zariadenie nie je zakorenené, môžete spustiť nasledujúci príkaz ADB a zakázať túto systémovú aplikáciu na zariadení OnePlus:
pmuninstall-k--user 0 net.oneplus.odmNávod, ako nastaviť ADB a spustiť tento príkaz, môže byť nájdete tu. Prípadne, ak je vaše zariadenie rootované, môžete ho nainštalovať tento modul Magisk.
Všetky tieto informácie sa opäť odosielajú cez HTTPS, takže ich nemôže zachytiť nikto iný (za predpokladu, že ste v zabezpečenej sieti). Človek sa však pýta, čo robí OnePlus s týmto druhom informácií. OnePlus vo vyhlásení ponúkol nasledujúce vysvetlenie analýzy, ktorú zhromažďujú:
Bezpečne prenášame analýzy v dvoch rôznych prúdoch cez HTTPS na server Amazon. Prvým prúdom sú analýzy používania, ktoré zhromažďujeme, aby sme mohli presnejšie vyladiť náš softvér podľa správania používateľov. Tento prenos aktivity používania je možné vypnúť tak, že prejdete na „Nastavenia“ -> „Rozšírené“ -> „Pripojiť sa k programu používateľskej skúsenosti“. Druhým prúdom sú informácie o zariadení, ktoré zhromažďujeme, aby sme poskytli lepšiu popredajnú podporu.
Majte na pamäti, že tento zber údajov sa vyskytuje iba v systéme OxygenOS, takže ak máte nainštalovanú vlastnú ROM založenú na AOSP, ako je LineageOS, váš telefón je v bezpečí pred ťažbou údajov. Ak chcete získať technickejší prehľad, odporúčame vám prečítať si pôvodný blogový príspevok, ktorý vytvoril pán Moore.
Zdroj: Chris's Security and Tech Blog