Του Γιάννη Γορανίτη
Η κινεζική OnePlus έχει γίνει γνωστή την τελευταία τριετία για μια σειρά εντυπωσιακών smartphones με συγκριτικά προσιτά τιμή. Το κοινό δείχνει να ανταποκρίνεται δίνοντας στην, σχετικά άγνωστη, εταιρεία αξιόλογα μερίδια σε έναν άκρως ανταγωνιστικό κλάδο.
Μια αποκάλυψη όμως ενδέχεται να ανακόψει την ανοδική πορεία της OnePlus, καθώς όπως όλα δείχνουν η εταιρεία είχε στήσει ένα αυτοματοποιημένο σύστημα συλλογής δεδομένων και προσωπικών πληροφοριών χωρίς τη συγκατάθεση των καταναλωτών.
Πώς αποκαλύφθηκε η «υποκλοπή»
Οι αρχικές αναφορές έγιναν πριν από περίπου έναν χρόνο. Ο ερευνητής ασφαλείας Christopher Moore είχε προσέξει ότι η συσκευή του (OnePlus 2) συνδέεται χωρίς προφανή λόγο και χωρίς βέβαια τη συγκατάθεσή του σε ένα domain της OnePlus (open.oneplus.net).
Όπως διαπίστωσε τα δεδομένα που έφευγαν από τη συσκευή μόνο αθώα δεν ήταν, καθώς περιλάμβαναν πληροφορίες για τον σειριακό αριθμό της συσκευής, τους αριθμούς τηλεφώνων, τη διεύθυνση MAC, τα ονόματα των κινητών δικτύων κ.ά.
Εξάλλου, κατέγραψε την αποστολή διαφόρων πληροφοριών σχετικά με τη χρήση εφαρμογών, αλλά και της ίδιας της συσκευής, όπως π.χ. η συχνότητα ξεκλειδώματος του τηλεφώνου, των δικτύων Wi-Fi στα οποία συνδέεται και πολλά ακόμη. Υπέθεσε λοιπόν βάσιμα ότι η σύνδεση όλων αυτών των δεδομένων είναι πολύ εύκολη καθώς η εταιρεία διαθέτει πρόσβαση και στα στοιχεία σύνδεσης του χρήστη σε εφαρμογές και λογαριασμούς.
Το λειτουργικό που ενοχοποιείται
Το προσαρμοσμένο λειτουργικό σύστημα της συσκευής είναι μια προσαρμοσμένη έκδοση του Android, που ονομάζεται Oxygen OS και αποτελεί ένα από τα βασικά πλεονεκτήματα των κινητών της εταιρείας. Το OS όμως των OnePlus φαίνεται ότι αφήνει τα κενά ασφαλείας και εκθέτει τα δεδομένα των χρηστών.
Οι εφαρμογές που συλλέγουν και αποστέλλουν στους servers της εταιρείας τα data των χρηστών είναι οι OnePlus Device Manager και OnePlus Device Manager. Ο Christopher Moore δίνει αναλυτικά τα στοιχεία που έχει συλλέξει σε αυτό το post.
Σε (ημι)επίσημη απάντησή της η OnePlus αποκάλυψε ότι συλλέγει δύο «ροές» δεδομένων μέσω HTTPS σε έναν σέρβερ της Amazon. Η πρώτη ροή είναι τα analytics χρήσης, τα οποία σύμφωνα με την εταιρεία «συλλέγονται ώστε να προσαρμοστεί με ακρίβεια το λογισμικό σύμφωνα με τη συμπεριφορά των χρηστών».
Η λύση
Ο προγραμματιστής Jakub Czekanski ανακάλυψε ένα σχετικά εύκολο τρικ απενεργοποίησης των συγκεκριμένων εφαρμογών. Έτσι, αν έχετε στην κατοχή σας οποιαδήποτε συσκευή της OnePlus με λειτουργικό Oxygen OS και βέβαια δεν επιθυμείτε να διαβιβάζονται τα δεδομένα σας, δεν έχετε παρά να πληκτρολογήσετε την ακόλουθη εντολή adb: pm uninstall -k --user 0 pkg. Με αυτόν τον τρόπο θα απενεργοποιηθούν μόνιμα οι ύποπτες εφαρμογές.
Στο φόρουμ των χρηστών δίνονται και άλλες συμβουλές απενεργοποίησης των συγκεκριμένων υπηρεσιών. Η εταιρεία αναφέρει ότι οι χρήστες που δεν επιθυμούν τη συμμετοχή του στο «πρόγραμμα» μπορούν να απενεργοποιήσουν την επιλογή 'join experience programme' από τις Ρυθμίσεις για προχωρημένους.
Αναμένουμε βέβαια και την επίσημη διαβεβαίωση της OnePlus ότι αφενός θα διακόψει τη συγκεκριμένη πρακτική συλλογής δεδομένων χωρίς συγκατάθεση του χρήστη και ότι αφετέρου θα διαγράψει όλα τα δεδομένα που έχει συλλέξει έως σήμερα.