OxygenOS, розроблена OnePlus, вважається однією з найкращих OEM-версій Android, але все ж вона не позбавлена недоліків. Багато проблем щодо конфіденційності.
Хоча телефони OnePlus мають гарну репутацію через свою ціну та відкритість до розробки, сама компанія в минулому приймала деякі сумнівні рішення щодо як вони обробляють дані користувачів. У той час ми виявили, що OxygenOS видасть IMEI вашого пристрою в мережу, поки ваш пристрій перевіряє наявність оновлень. За словами дослідника безпеки Крістофера Мура, OnePlus звинувачують у зборі ще більш конфіденційної інформації, яка дозволяє ідентифікувати особу.
Під час Hack Challenge, у якому він брав участь минулого року, Мур вирішив дослідити інтернет-трафік зі свого OnePlus 2. Він виявив, що його телефон надсилає HTTPS-запити на домен open.oneplus.net. Він розшифрував дані за допомогою ключа на пристрої та зміг побачити всі дані, які надсилаються назад на сервери OnePlus AWS.
Потім він проаналізував, яка інформація надсилалася в цей домен, і виявив, що OnePlus збирає події ввімкнення, вимкнення екрана, розблокування пристрою, нестандартні перезавантаження, серійний номер, IMEI, номери телефонів, MAC-адреси, назви мобільних мереж і префікси IMSI, а також ESSID бездротової мережі та BSSID.
Але видобуток даних на цьому не закінчується, оскільки Мур виявив, що OxygenOS також збирає позначки часу про те, коли він відкривав і закривав програми та навіть які дії відкривалися.
Мур трохи покопався і виявив, що код, який відповідає за цей збір даних, є частиною OnePlus Диспетчер пристроїв і OnePlus Device Manager Provider, який міститься в системній програмі OPDeviceManager.apk.
Якщо ваш пристрій не рутований, ви можете запустити наступну команду ADB, щоб вимкнути цю системну програму на вашому пристрої OnePlus:
pmuninstall-k--user 0 net.oneplus.odmПідручник про те, як налаштувати ADB і запустити цю команду, може бути знайдено тут. Крім того, якщо ваш пристрій рутований, ви можете встановити цей модуль Magisk.
Уся ця інформація, знову ж таки, надсилається через HTTPS, тому її не може перехопити ніхто інший (за умови, що ви перебуваєте в захищеній мережі). Хоча виникає питання, що OnePlus робить з такою інформацією. У своїй заяві OnePlus надала таке пояснення аналітики, яку вони збирають:
Ми безпечно передаємо аналітичні дані у двох різних потоках через HTTPS на сервер Amazon. Перший потік – це аналітика використання, яку ми збираємо, щоб точніше налаштовувати наше програмне забезпечення відповідно до поведінки користувачів. Цю передачу активності використання можна вимкнути, перейшовши до «Налаштування» -> «Додатково» -> «Приєднатися до програми взаємодії з користувачами». Другий потік — це інформація про пристрій, яку ми збираємо, щоб забезпечити кращу підтримку після продажу.
Майте на увазі, що цей збір даних відбувається лише на OxygenOS, тому, якщо у вас встановлено спеціальне ПЗУ на основі AOSP, наприклад LineageOS, ваш телефон захищений від видобутку даних. Щоб отримати більш детальну технічну інформацію, ми рекомендуємо вам прочитати оригінальну публікацію в блозі, яку опублікував пан Мур, за посиланням нижче.
Джерело: блог Кріса про безпеку та техніку