OxygenOS utvecklat av OnePlus hyllas som en av de bästa OEM-smakerna av Android som finns, men ändå är det inte utan sina brister. Integritetsproblem i överflöd.
Medan OnePlus-telefonerna har ett gott rykte för sitt pris och öppenhet för utveckling, har företaget självt tidigare tagit en del tveksamma beslut m.t.t. hur de hanterar användardata. Vid den tiden upptäckte vi att OxygenOS skulle läcka din enhets IMEI till nätverket medan din enhet söker efter en uppdatering. Nu anklagas OnePlus för att ha samlat in ännu mer känslig, personligt identifierbar information enligt säkerhetsforskaren Christopher Moore.
Under en Hack Challenge som han deltog i förra året, bestämde sig Moore för att undersöka internettrafiken från sin OnePlus 2. Han upptäckte att hans telefon skickade HTTPS-förfrågningar till domänen open.oneplus.net. Han dekrypterade data med hjälp av nyckeln på enheten och kunde se all data skickas tillbaka till OnePlus AWS-servrar.
Han analyserade sedan vilken information som skickades till den här domänen och fann att OnePlus samlade in skärm på, skärm av, enhetsupplåsningshändelser, onormala omstarter, serienummer, IMEI, telefonnummer, MAC-adresser, mobilnätverksnamn och IMSI-prefix, och trådlöst nätverk ESSID och BSSID.
Men datautvinningen slutar inte där, eftersom Moore fann att OxygenOS också samlade in tidsstämplar för när han öppnade och stängde applikationer och till och med vilka aktiviteter som öppnades.
Moore grävde lite och upptäckte att koden som ansvarar för denna datainsamling är en del av OnePlus Enhetshanteraren och OnePlus Device Manager Provider, som finns i systemapplikationen OPDeviceManager.apk.
Om din enhet inte är rotad kan du köra följande ADB-kommando för att inaktivera denna systemapplikation på din OnePlus-enhet:
pmuninstall-k--user 0 net.oneplus.odmEn handledning om hur man ställer in ADB och kör det här kommandot kan vara hittas här. Alternativt, om din enhet är rotad kan du installera denna Magisk-modul.
All denna information skickas, återigen, över HTTPS så att den inte kan fångas upp av någon annan (förutsatt att du är på ett säkert nätverk). Men man undrar vad OnePlus gör med den här typen av information. I ett uttalande erbjöd OnePlus följande förklaring bakom analysen de samlar in:
Vi överför säkert analyser i två olika strömmar över HTTPS till en Amazon-server. Den första strömmen är användningsanalys, som vi samlar in för att vi mer exakt ska kunna finjustera vår programvara efter användarbeteende. Denna överföring av användningsaktivitet kan stängas av genom att navigera till "Inställningar" -> "Avancerat" -> "Gå med i användarupplevelseprogrammet". Den andra strömmen är enhetsinformation, som vi samlar in för att ge bättre support efter försäljningen.
Tänk på att denna datainsamling endast sker på OxygenOS, så om du har en anpassad AOSP-baserad ROM installerad som LineageOS så är din telefon säker från datautvinning. För en mer teknisk uppdelning rekommenderar vi att du läser det ursprungliga blogginlägget som Mr. Moore gjorde länkat nedan.
Källa: Chris's Security and Tech Blog