Christopher Moore, un ingegnere software, ha scoperto un’interessante cosa riguardo ad Oxygen OS, ossia il sistema operativo che muove gli smartphone OnePlus. In particolare, l’ingegnere ha notato che l’OS colleziona una serie di dati sensibili degli utenti senza averne il consenso. Lo strano funzionamento è stato identificato con OSWAP ZAP, un particolare strumento il quale consente di osservare il traffico Internet in ingresso e in uscita.
Il problema sta nel fatto che le informazioni raccolte permettono di identificare il proprietario dello smartphone OnePlus. Dopo aver esaminato con attenzione il traffico in uscita, Christopher Moore ha scoperto che il suo OnePlus 2 comunicava periodicamente con il dominio open.oneplus.net, ovvero un’istanza di Amazon AWS.
OnePlus: l’azienda raccoglie i dati personali dei tantissimi utilizzatori dei suoi smartphone
L’ingegnere è riuscito a decifrare i dati inviati tramite HTTPS scoprendo che l’Oxygen OS registra quando il dispositivo viene riavviato e sbloccato, quando il display viene acceso e spento, la versione del sistema operativo installata sul terminale, il numero di telefono, il numero seriale, i codici IMEI e IMSI, gli indirizzi MAC, ESSID e BSSID della rete Wi-Fi, il nome dell’operatore telefonico, i nomi delle applicazioni in esecuzione e quando queste ultime vengono aperte e chiuse.
Come è possibile vedere dalla lista appena riportata, sono delle informazioni sicuramente sensibili che permettono a OnePlus di identificare ogni possessore. Moore ha deciso, quindi, di contattare l’assistente tecnica della società attraverso Twitter, ricevendo però delle risposta campate in aria come pulire la cache ed effettuare un hard reset del sistema sul suo terminale.
Dopo queste lamentele fatte dall’ingegnere, il produttore asiatico ha deciso di rispondere con una dichiarazione ufficiale. In particolare, OnePlus spiega che la raccolta di questi dati servono ad ottimizzare il software in base al comportamento dell’utente. Tuttavia, la trasmissione può essere disattivata nelle impostazioni avanzate mentre le informazioni circa il device vengono raccolte per fornire un migliore supporto post-vendita.
L’azienda ha precisato anche che l’applicazione OnePlus Device Manager, ossia quella che raccoglie, registra e invia i dati ai server della società, può essere disinstallata tranquillamente dagli smartphone senza effettuare nemmeno il root.
Ciò è possibile abilitando il debug USB nelle Opzioni sviluppatore delle Impostazioni, collegare il dispositivo a una delle porte USB del proprio PC e affidarsi ad ADB. Da qui basterà digitare i seguenti comandi:
- adb start-server
- adb shell
- pm uninstall -k –user 0 net.oneplus.odm
Precisiamo, infine, che tale operazione potrebbe causare malfunzionamenti di altre feature, dunque deve essere fatta a proprio rischio e pericolo.
