Un ingegnere del software, Christopher Moore, ha scoperto che il sistema operativo Oxygen OS degli smartphone OnePlus colleziona una serie di dati sensibili senza consenso degli utenti. Lo strano funzionamento è stato rilevato con OWASP ZAP, un tool che permette di osservare il traffico Internet in ingresso e in uscita. Il vero problema è che le informazioni raccolte consentono di risalire all’identità del proprietario dello smartphone.
Dopo aver esaminato il traffico in uscita, Moore ha notato che il suo smartphone OnePlus 2 comunica periodicamente con il dominio open.oneplus.net
corrispondente ad un’istanza su Amazon AWS. L’ingegnere ha quindi decifrato i dati inviati via HTTPS, scoprendo che Oxygen OS registra quando il dispositivo viene riavviato e sbloccato, quando lo schermo viene spento e accesso, versione del sistema operativo, numero di telefono, numero seriale, nome dell’operatore telefonico, IMEI, IMSI, indirizzi MAC, ESSID e BSSID della rete WiFi, i nomi delle app avviate e quando sono state aperte/chiuse.
Si tratta quindi di una lunga serie di informazioni sensibili che permettono di identificare l’utente. Moore ha quindi contattato su Twitter il supporto tecnico di OnePlus, ricevendo però risposte inadeguate (pulire la cache e effettuare un hard reset). Successivamente il produttore cinese ha rilasciato una dichiarazione con la quale spiega che i dati servono per “ottimizzare il software in base al comportamento dell’utente“. La trasmissione può essere disattivata nelle impostazioni avanzate. Le informazioni sul dispositivo sono invece raccolti per fornire un migliore supporto post-vendita.
L’app che effettua la registrazione e l’invio dei dati, ovvero OnePlus Device Manager, può essere eliminata dallo smartphone senza effettuare il rooting. È necessario abilitare il debug USB nella sezione Opzioni sviluppo delle Impostazioni, quindi collegare il dispositivo alla porta USB del computer, sul quale è installato ADB (Android Debug Bridge). I comandi da digitare nel terminale sono i seguenti:
adb start-server
adb shell
pm uninstall -k --user 0 net.oneplus.odm
L’operazione potrebbe però aver conseguenze su altre funzionalità, quindi deve essere eseguita a proprio rischio.