Moore podivné chování smartphonu odhalil po připojení k bezpečnostnímu nástroji, který ukázal časté požadavky z domény open.oneplus.net. Po podrobném průzkumu zjistil, že telefon sleduje a do souboru zapisuje například každé zamknutí a odemknutí, spuštění a ukončení aplikace, aktivitu bezdrátových modulů a třeba i identifikátor wi-fi sítě, ke které se telefon připojuje.
K těmto informacím však přidává i jednoznačné identifikátory daného přístroje, tedy IMEI, MAC adresy modemů, sériové číslo, telefonní číslo a samozřejmě i operátora. A to už je hodně neobvyklé chování smartphonu a především nabourávání soukromí uživatele.
Hlavním problémem pak je, že jsou všechna tato data průběžně odesílána na servery Amazonu v USA, konkrétně cloudovou službu Amazon Web Services, kterou OnePlus k ukládání zřejmě nejen těchto dat využívá.
Moore dále zjistil, že sběr těchto dat má na svědomí systémová aplikace OnePlus System Service. O množství sesbíraných dat svědčí příklad, že jen během 10 hodin bylo na servery odesláno 16 MB dat.
Moore na svém blogu uvedl, že jelikož jde o systémovou aplikaci, není možné ji trvale vypnout, ale je nutné ji po každém restartu zařízení manuálně deaktivovat.
Příspěvek Chrise Moora vzbudil zájem nejen mezi běžnými uživateli, ale i mezi vývojáři. Tím je i Jakub Czekanski z Polska, který upozornil na lepší způsob, kterak se nepříjemného sběru osobních dat účinně zbavit.
@chrisdcmoore I've read your article about OnePlus Analytics. Actually, you can disable it permanently: pm uninstall -k --user 0 pkg
Stačí v telefonu spustit ADB (Android Debug Bridge), což je nástroj, pracující v režimu příkazové řádky, který s telefonem komunikuje prostřednictvím emulátoru přes USB kabel. K jeho provozování je nutné rovněž stáhnout vývojářský balíček Android SDK.
Po instalaci a navázání komunikace s telefonem stačí v rozhraní SDK rozběhnout příkazový řádek (příkazem adb) a následně zadat příkaz : pm uninstall -k --user 0 net.oneplus.odm. Tímto se onen vestavěný špion v telefonu trvale vypne.
Jelikož za problémem stojí systémová aplikace, pak je jasné, že uvedené chování není „bonusem“ pouze druhé generace přístroje, u které bylo odhaleno, ale vlastností každého smartphonu této značky.
OnePlus omezí sběr dat na svých zařízeních
Společnost OnePlus krátce po zveřejnění znepokojivých informací vydala oficiální stanovisko, ve kterém přiznává, že sběr dat probíhá přes dva kanály. Jeden slouží k analytickým potřebám, které tvůrcům nadstavby OxygenOS umožňují vyladit systém podle modelového příkladu chování uživatele. Sběr těchto informací lze vypnout přímo v systému a sice v Nastavení – Pokročilé – Připojení se k programu uživatelského zážitku.
Druhý proud informací je pak prý shromažďován, aby mohl výrobce zajistit lepší uživatelskou a servisní podporu.
K problému se několik dnů poté přímo na oficiálním fóru vyjádřil i spoluzakladatel společnosti Carl Pei, který zopakoval způsob sbírání dat přes dva proudy, ale doplnil, že v systému OxygenOS budou provedeny změny, které omezí množství sledovaných dat. Aplikace nebude shromažďovat telefonní čísla, MAC adresy modemů a identifikátory wi-fi sítí.
Přístroje OnePlus tedy budou nadále některá data ukládat, ovšem jejich sdílení a použití pro účely výrobce bude muset uživatel odsouhlasit tím, že se přihlásí do programu zlepšování uživatelských zkušeností. Majitelé telefonů OnePlus obdrží výzvu k připojení se do programu a tím sdílení již omezeného množství dat koncem října. Spolu s tím budou i upraveny všeobecné podmínky užívání smartphonů OnePlus.
Z minulosti známe značně větší prolomení soukromí uživatelů
OnePlus není první hříšníkem, jehož telefony nějakým způsobem sbírají uživatelská data a tato odesílají třetím stranám. Již loni propukl skandál, když bezpečnostní experti společnosti Kryptowire odhalili, že smartphony značky BLU s firmwarem, upraveným čínskou společností Adups odesílají na servery v Šanghaji osobní data uživatelů.
Tehdy se však jednalo o nesrovnatelně větší narušení soukromí. Posílána totiž byla třeba i poloha, výpis telefonních hovorů, seznam kontaktů, historie webového prohlížeče a dokonce i obsah SMS. Data přístroje na servery do Číny odesílaly každých 72 hodin (podrobněji zde).
