OnePlus tarafından geliştirilen OxygenOS, Android'in en iyi OEM versiyonlarından biri olarak övülüyor, ancak yine de kusurları yok değil. Gizlilik çok fazla endişe verici.
OnePlus telefonları fiyatları ve geliştirmeye açık olmaları nedeniyle iyi bir üne sahip olsa da şirketin kendisi geçmişte bazı şüpheli kararlar almıştı. kullanıcı verilerini nasıl ele alıyorlar. O zamanlar, cihazınız bir güncelleme olup olmadığını kontrol ederken OxygenOS'un cihazınızın IMEI'sini ağa sızdırdığını keşfettik. Güvenlik araştırmacısı Christopher Moore'a göre OnePlus artık daha hassas, kişisel olarak tanımlanabilir bilgiler toplamakla suçlanıyor.
Geçen yıl katıldığı Hack Challenge sırasında Moore, OnePlus 2'sinin internet trafiğini araştırmaya karar verdi. Telefonunun open.oneplus.net alanına HTTPS istekleri gönderdiğini keşfetti. Cihazdaki anahtarı kullanarak verilerin şifresini çözdü ve OnePlus'ın AWS sunucularına geri gönderilen tüm verileri görebildi.
Daha sonra bu alana hangi bilgilerin gönderildiğini analiz etti ve OnePlus'ın ekran açma, ekran kapatma, cihaz kilidi açma olaylarını topladığını buldu. anormal yeniden başlatmalar, seri numarası, IMEI, telefon numaraları, MAC adresleri, mobil ağ(lar) adları ve IMSI önekleri ve kablosuz ağ ESSID ve BSSID.
Ancak veri madenciliği burada bitmiyor; Moore, OxygenOS'un aynı zamanda uygulamaları ne zaman açıp kapattığını ve hatta hangi etkinliklerin açıldığını gösteren zaman damgalarını da topladığını keşfetti.
Moore biraz araştırma yaptı ve bu veri toplamadan sorumlu kodun OnePlus'ın bir parçası olduğunu keşfetti. Sistem uygulamasında bulunan Cihaz Yöneticisi ve OnePlus Cihaz Yöneticisi Sağlayıcısı OPDeviceManager.apk.
Cihazınız rootlu değilse, OnePlus cihazınızda bu sistem uygulamasını devre dışı bırakmak için aşağıdaki ADB komutunu çalıştırabilirsiniz:
pmuninstall-k--user 0 net.oneplus.odmADB'nin nasıl kurulacağına ve bu komutun nasıl çalıştırılacağına ilişkin bir eğitim şu adreste bulunabilir: burada bulundu. Alternatif olarak, cihazınız rootluysa yükleyebilirsiniz. bu Magisk modülü.
Tüm bu bilgiler yine HTTPS üzerinden gönderilir, böylece başkaları tarafından ele geçirilemez (güvenli bir ağda olmanız şartıyla). Yine de OnePlus'ın bu tür bilgilerle ne yaptığı merak ediliyor. OnePlus yaptığı açıklamada topladığı analizlerin arkasında şu açıklamayı sundu:
Analitikleri HTTPS üzerinden iki farklı akışta güvenli bir şekilde bir Amazon sunucusuna aktarıyoruz. İlk akış, kullanıcı davranışına göre yazılımımızda daha hassas ayarlamalar yapabilmemiz için topladığımız kullanım analizleridir. Bu kullanım etkinliği aktarımı 'Ayarlar' -> 'Gelişmiş' -> 'Kullanıcı deneyimi programına katıl' seçeneğine gidilerek kapatılabilir. İkinci akış, daha iyi satış sonrası destek sağlamak için topladığımız cihaz bilgileridir.
Bu veri toplamanın yalnızca OxygenOS'ta gerçekleştiğini unutmayın; dolayısıyla LineageOS gibi özel bir AOSP tabanlı ROM yüklüyse telefonunuz veri madenciliğine karşı güvendedir. Daha teknik bir analiz için Bay Moore'un aşağıda bağlantısını verdiği orijinal blog yazısını okumanızı öneririz.
Kaynak: Chris'in Güvenlik ve Teknoloji Blogu