Tyxo.bg counter

Източва ли OnePlus идентификационни данни от потребителите?

Софтуерен инженер обвини компанията, че събира IMEI номера, MAC адреси, имена на мобилни мрежи и префикси на IMSI

Аналитичните данни са важни за всеки софтуер. Те могат да помогнат на разработчиците да разберат какви функции използват хората, кои бъгове трябва да бъдат оправени и къде е целевият пазар. Но събирането им трябва да се прави по строго регламентиран начин. Оказва се, че компанията OnePlus събира огромни количества аналитични данни от собствениците на телефони. Събраните данни включват IMEI номера, MAC адреси, имена на мобилни мрежи и префикси на IMSI, серийни номера и др.

Кристофър Мур, софтуерен инженер, направи публикация в своя личен блог, показвайки своите открития. По време на Hack Challenge Мур започнал да пренасочва интернет трафика от своя OnePlus 2, използвайки OWASP ZAP. Този процес по същество му позволява да види целия входящ и изходящ интернет трафик от телефона си. Сред обичайната мрежова дейност, той забеляза голям брой заявки от open.oneplus.net.

Чрез по-задълбочена проверка той намира името на домейн, който е инстанция на Amazon AWS, собственост на OnePlus. По този начин Мур вижда, че телефонът му често изпраща данни на сървъра open.oneplus.net през HTTPS, успява да декриптира данните, използвайки ключа за удостоверяване на телефона, и разкрива, че неговата операционна система OP2 е изпращала информация с времева маркировка за заключвания, отключвания и неочаквани рестартирания на устройството.

Записването на неочаквани рестартирания би имало смисъл, защото може да помогне на разработчиците да поправя грешки в операционната система, но, както отбелязва Мур в блога си, записването всеки път, когато телефонът е отключен или заключен, изглежда прекалено.

След като прави по-задълбочено наблюдение, Мур открива, че някои от данните, които се изпращат на сървърите на OnePlus, включват IMEI номера, телефонния номер, MAC адресите, имената на мобилните мрежи и префиксите на IMSI, информацията за Wi-Fi връзката и серийния номер на телефона. По-късно Мур установява, че данните се изпращат всеки път, когато се отвори приложение.

Предаваме по сигурен начин аналитични данни в два различни потока през HTTPS на сървър на Amazon. Първият поток е анализът на използването, който събираме, за да можем по-точно да настроим софтуера според поведението на потребителя. Това предаване на активността може да бъде изключено, като отворите "Настройки" -> "Разширени" -> "Присъедини се към програмата за потребителски опит". Вторият поток е информацията за устройството, която събираме, за да осигурим по-добра поддръжка след продажбата”, коментираха от OnePlus.

Twitter icon Facebook icon
Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук.