Телеметрия в смартфонах OnePlus позволяет связать устройство с конкретным пользователем

OxygenOS, модифицированная версия операционной системы Android, установленная по умолчанию на все смартфоны OnePlus, отслеживает действия пользователей без анонимизации данных, позволяя привязывать каждое устройство к конкретному пользователю.

Исследователь безопасности под псевдонимом Tux обнаружил свидетельства слежки еще в июле 2016 года, однако его сообщение в Twitter осталось незамеченным.

Проблема сбора данных в OxygenOS снова привлекла всеобщее внимание после того, как британский специалист в области кибербезопасности Кристофер Мур (Christopher Moore) опубликовал результаты своего исследования.

Мур обнаружил, что OxygenOS регулярно отправляет собранные данные на серверы OnePlus. Подобное поведение - вполне нормальное явление, поскольку в настоящее время почти все приложения собирают данные для анализа рынка и выявления ошибок в приложениях. Однако, эти данные, как правило, не включают подробные сведения, которые могут указать на личность пользователя.

Проблема заключается в том, что OnePlus не анонимизирует информацию о пользователе. Китайский производитель смартфонов получает информацию о номере телефона, идентификаторах IMEI и IMSI, операторе мобильной связи, серийном номере, MAC-адресах, состоянии батареи, длительности работы приложений, а также данные о блокировке/разблокировке, отключении экрана и пр.

Сбор данных не может быть отключен через настройки телефона, однако польский разработчик Якуб Чеканьски (Jakub Czekański) все-таки нашел способ отключить функцию без прав суперпользователя и вмешательства в основные файлы операционной системы.

Для того чтобы отключить слежку, пользователи должны включить отладку по USB в настройках OnePlus, подключить телефон к своему ПК и использовать Android Debug Bridge (adb) для запуска командной строки на устройстве, после чего ввести следующие команды:

adb start-server

adb shell   pm uninstall -k --user 0 net.oneplus.odm

Источник