OxygenOS ถูกกล่าวหาว่าทำเหมืองข้อมูลข้อมูลที่สามารถระบุตัวบุคคลได้สำหรับการวิเคราะห์

สรุปข่าว XdaNov 13, 2023
click fraud protection

OxygenOS ที่พัฒนาโดย OnePlus ได้รับการยกย่องว่าเป็นหนึ่งในรสชาติ OEM ที่ดีที่สุดของ Android แต่ก็ยังไม่มีข้อบกพร่อง ความกังวลเรื่องความเป็นส่วนตัวมีมากมาย

ในขณะที่โทรศัพท์ OnePlus มีชื่อเสียงในด้านราคาและความเปิดกว้างต่อการพัฒนา บริษัท เองก็ได้ทำการตัดสินใจที่น่าสงสัยในอดีตเกี่ยวกับ พวกเขาจัดการข้อมูลผู้ใช้อย่างไร. ในเวลานั้น เราพบว่า OxygenOS จะทำให้ IMEI ของอุปกรณ์ของคุณรั่วไหลไปยังเครือข่ายในขณะที่อุปกรณ์ของคุณตรวจสอบการอัปเดต ตอนนี้ OnePlus ถูกกล่าวหาว่ารวบรวมข้อมูลที่ละเอียดอ่อนและสามารถระบุตัวบุคคลได้มากขึ้นตามที่นักวิจัยด้านความปลอดภัย Christopher Moore กล่าว

ในระหว่างการแข่งขัน Hack Challenge ที่เขาเข้าร่วมเมื่อปีที่แล้ว Moore ตัดสินใจตรวจสอบการรับส่งข้อมูลอินเทอร์เน็ตจาก OnePlus 2 ของเขา เขาค้นพบว่าโทรศัพท์ของเขาส่งคำขอ HTTPS ไปยังโดเมน open.oneplus.net เขาถอดรหัสข้อมูลโดยใช้คีย์บนอุปกรณ์และสามารถดูข้อมูลทั้งหมดที่ถูกส่งกลับไปยังเซิร์ฟเวอร์ AWS ของ OnePlus

จากนั้นเขาก็วิเคราะห์ข้อมูลที่ถูกส่งไปยังโดเมนนี้ และพบว่า OnePlus กำลังรวบรวมกิจกรรมเปิดหน้าจอ ปิดหน้าจอ กิจกรรมปลดล็อคอุปกรณ์ การรีบูตผิดปกติ, หมายเลขซีเรียล, IMEI, หมายเลขโทรศัพท์, ที่อยู่ MAC, ชื่อเครือข่ายมือถือและคำนำหน้า IMSI และเครือข่ายไร้สาย ESSID และ BSSID.

แต่การทำเหมืองข้อมูลไม่ได้หยุดอยู่แค่นั้น เนื่องจาก Moore พบว่า OxygenOS ยังรวบรวมการประทับเวลาเมื่อเขาเปิดและปิดแอปพลิเคชัน และแม้แต่กิจกรรมที่เปิดอยู่

มัวร์ได้ขุดค้นและพบว่าโค้ดที่รับผิดชอบในการรวบรวมข้อมูลนี้เป็นส่วนหนึ่งของ OnePlus Device Manager และ OnePlus Device Manager Provider ซึ่งมีอยู่ในแอปพลิเคชันระบบ OPDeviceManager.apk

หากอุปกรณ์ของคุณไม่ได้ถูกรูท คุณสามารถเรียกใช้คำสั่ง ADB ต่อไปนี้เพื่อปิดการใช้งานแอปพลิเคชันระบบนี้บนอุปกรณ์ OnePlus ของคุณ:

pmuninstall-k--user 0 net.oneplus.odm

บทช่วยสอนเกี่ยวกับวิธีการตั้งค่า ADB และเรียกใช้คำสั่งนี้สามารถทำได้ พบที่นี่. หรือหากอุปกรณ์ของคุณผ่านการรูทแล้ว คุณสามารถติดตั้งได้ โมดูล Magisk นี้.

ข้อมูลทั้งหมดนี้ถูกส่งผ่าน HTTPS อีกครั้ง ดังนั้นไม่มีใครสามารถดักจับข้อมูลนี้ได้ (หากคุณอยู่ในเครือข่ายที่ปลอดภัย) แม้ว่าจะมีใครสงสัยว่า OnePlus กำลังทำอะไรกับข้อมูลประเภทนี้ ในแถลงการณ์ OnePlus เสนอคำอธิบายต่อไปนี้เบื้องหลังการวิเคราะห์ที่พวกเขากำลังรวบรวม:

เราส่งข้อมูลการวิเคราะห์อย่างปลอดภัยในสองสตรีมที่แตกต่างกันผ่าน HTTPS ไปยังเซิร์ฟเวอร์ Amazon สตรีมแรกคือการวิเคราะห์การใช้งาน ซึ่งเรารวบรวมเพื่อให้เราปรับแต่งซอฟต์แวร์ของเราให้แม่นยำยิ่งขึ้นตามพฤติกรรมของผู้ใช้ คุณสามารถปิดการส่งกิจกรรมการใช้งานนี้ได้โดยไปที่ 'การตั้งค่า' -> 'ขั้นสูง' -> 'เข้าร่วมโปรแกรมประสบการณ์ผู้ใช้' สตรีมที่สองคือข้อมูลอุปกรณ์ ซึ่งเรารวบรวมเพื่อให้การสนับสนุนหลังการขายที่ดียิ่งขึ้น

โปรดทราบว่าการรวบรวมข้อมูลนี้จะเกิดขึ้นบน OxygenOS เท่านั้น ดังนั้นหากคุณติดตั้ง ROM ที่ใช้ AOSP แบบกำหนดเอง เช่น LineageOS โทรศัพท์ของคุณจะปลอดภัยจากการขุดข้อมูล สำหรับรายละเอียดทางเทคนิคเพิ่มเติม เราขอแนะนำให้คุณอ่านบล็อกโพสต์ต้นฉบับที่ Mr. Moore ทำไว้ในลิงก์ด้านล่าง

ที่มา: บล็อกความปลอดภัยและเทคโนโลยีของ Chris