Специалисты по информационной безопасности обнаружили, что OxygenOS, под управлением которой работают смартфоны OnePlus, собирает множество данных о пользователях и передает эту информацию на серверы компании без предварительного обезличивания.

Первым на проблему обратил внимание исследователь, известный под псевдонимом Tux, и это произошло еще в июле 2016 года. К сожалению, тогда твит специалиста остался никем незамеченным, и повторно баг был обнаружен только год спустя, на этой неделе, когда утечку данных заметил британский ИБ-специалист Кристофер Мур (Christopher Moore).

Мур обнаружил, что OxygenOS регулярно отсылает собранную на устройстве телеметрию на серверы OnePlus. Казалось бы, в наши дни телеметрию собирают практически все приложения, и большой проблемы в этом нет. Однако в данном случае информация не обезличивается должным образом, то есть телеметрию можно связать с конкретным пользователем и устройством, по сути, деанонимизировав таким образом конкретного человека в реальном мире.

Смартфоны OnePlus собирают следующие данные:

  • номер телефона устройства;
  • IMEI;
  • IMSI;
  • идентификаторы ESSID и BSSID;
  • серийный номер устройства;
  • MAC-адрес;
  • имя сети оператора;
  • статус батареи;
  • данные об открытии и закрытии приложений;
  • время блокировки и разблокировки устройства:
  • время отключения и включения экрана.

Хуже того, Мур обнаружил, что отключить сбор этой статистики невозможно. Эксперт даже связался с поддержкой OnePlus и попросил помощи там, однако специалисты компании тоже не сумели подсказать, как остановить утечку. Здесь стоит отметить, что официальных комментариев от OnePlus пока не поступало.

Пока компания не представила официального решения проблемы, свой способ решения предложил польский разработчик Якуб Чекански (Jakub Czekański). Для этого не понадобится рутовать аппарат и лезть глубоко в системные файлы. Специалист предлагает включить в настройках для разработчиков режим отладки через USB, подключить смартфон к ПК, а затем воспользоваться  Android Debug Bridge. Чтобы отключить слежку, потребуется выполнить следующие команды:

adb start-server
adb shell
pm uninstall -k --user 0 net.oneplus.odm



6 комментариев

  1. d13ma

    11.10.2017 at 10:58

    Вот так пользуюсь уже год и не знал. А что в этом плохого?

    • ismayil112

      11.10.2017 at 11:15

      Плохо в том что, почему OnePlus собирают данные ?
      есть 2 варианта:
      1) для каких то Спец Служб… чтобы эти информации в будущем исспользоват (или продать)
      2) для вроде искусственный интеллектная программа чтобы быстрее узнать что, как, какой, кому и где.

      Мой Брат пользуется этот телефонам. Очень удобный с cyanogenmod-ам. Он довольен)
      Сделал, Якуб Чекански как сказал, но думаю что бесполезно((

    • Pusik_laskoviy

      11.10.2017 at 19:58

      ну как бы и ничего плохого, если вам все равно на ваши данные, которые господа китайцы продают направо или налево. Впрочем, вы наверняка вконтактике или фейсбучке зарегены, не так ли? Это ж вас наверняка не волнует

  2. Supremist

    11.10.2017 at 17:37

    Если у вас там не Oxygen стоит, то можно не париться. Это именно ос шалит. А если у вас рут, то можно это все вообще с мясом вырезать.

    • Pusik_laskoviy

      11.10.2017 at 19:59

      полагаю, что с фаерволом даже оксиген никуда ничего не отправит

      • Мария Нефёдова

        Мария Нефёдова

        11.10.2017 at 22:47

        Да и без фаервола… «Показания» разнятся, на самом деле. У приятеля OnePlus последний, после новости он поснифал трафик, обнаружил, что у него ничего никуда не утекало. Удивился. Вспомнил, что при первом запуске снял галочку help improve user experience. Включил это дело. Точно — пошел слив.

Оставить мнение