وان پلاس بدون اطلاع کاربران اطلاعات آنها را جمع آوری می کند
وان پلاس، شرکت چینی تولید کننده تلفن همراه بار دیگر با اتهام جمع آوری داده های کاربران بدون اطلاع و رضایت کاربران مواجه شده است. داده های جمع آوری شده از سوی این شرکت شامل مواردی مثل شماره های IMEI، آدرس های MAC، نام های شبکه های موبایل، پیشوندهای IMSI، شماره سریال ها و … است.
گویا آی تی – اخیرا «کریس مور» مهندس نرم افزار ساکن انگلستان که از تلفن هوشمند وان پلاس ۲ استفاده می کند مقاله ای مفصل درباره توانایی شرکت وان پلاس برای جمع آوری داده های تحلیلی از تلفن همراه اش منتشر کرد. مور با هدایت ترافیک اینترنت تلفن همراه وان پلاس ۲ خودش با استفاده از ابزار امنیتی OWASP ZAP که امکان ردیابی فعالیت های شبکه تلفن را میسر می کند متوجه این موضوع شده بود. مور متوجه شد حجم قابل توجهی از داده ها با استفاده از پروتکل امن HTTPS به سرور open.oneplus.net ارسال می شوند. او تحقیقات بیشتری درباره آدرس مذکور انجام داد و متوجه شد این دامین روی یکی از سرویس های آمازون وب قرار داشته و البته متعلق به شرکت وان پلاس است.
مور با استفاده از کلید دیجیتال اصالت سنجی موجود در تلفن همراه خود (مدل وان پلاس ۲) موفق به رمزگشایی داده های جمع آوری شده توسط شرکت شد. وی متوجه شد تلفن همراهش در حال ارسال زمان بندی شده اطلاعات درباره قفل شدن، باز شدن و ری بوت شدن های ناخواسته است.
درخواست اطلاعات زمان بندی شده در مورد ری بوت های ناخواسته منطقی به نظر می رسد. این امر به برنامه نویسان اجازه می دهد نواقصی که در سیستم عامل وجود دارد را مرتفع کنند. هر چند آن چه غیرمعقول به نظر می رسید جمع آوری داده های مربوط به قفل شدن و باز شدن تلفن همراه بود. به همین علت مور برای مدتی طولانی داده های ترافیک شبکه را زیر نظر گرفت و متوجه شدن شرکت وان پلاس در حال جمع آوری داده های بسیار بیشتری است.
وی متوجه شد داده هایی که برای سرورهای OnePlus ارسال می شوند شامل سریال IMEI، شماره تلفن، مک آدرس ها، نام های شبکه های موبایل، پیشوندهای IMSI، اطلاعات مربوط به اتصال وای-فای و شماره سریال تلفن همراه هستند. به نظر مور بدترین مورد کشف شده مربوط به جمع آوری اطلاعات اپلیکیشن های باز شده و میزان باز ماندن آنها در تلفن بود.
مور در وب سایتش این طور توضیح می دهد: ”داده های اتفاقات رخ داده در تلفن همگی برچسب زمان داشتند، به این معنی که زمان آغاز به کار یک اپلیکیشن، مدت زمان فعال بودن آن و در نهایت زمان بسته شدن آن همراه با شماره سریال تلفن همراه ثبت می شد. به توئیتر شرکت وان پلاس مراجعه کردم و درباره نحوه غیر فعال کردن این ویژگی سوال کردم که متاسفانه من را به بخش حل مشکلات وب سایت ارجاع دادند.“
وب سایت Android Authority گفتگویی درباره این موضوع با یکی از نمایندگان وان پلاس داشته اما موفق به گرفتن پاسخ قانع کننده ای نشده است. این نماینده توضیح خاصی درباره دادن حق انتخاب به کاربران برای اعلام رضایت خود برای جمع آوری اطلاعات نداد و این مساله را روشن نکرد که چرا این شرکت مخفیانه و بدون اطلاع کاربران این کار را انجام داده است. آن چه که کاربران را نگران تر می کند مساله عدم اهمیت این شرکت به حریم خصوصی کاربران است. البته نماینده این شرکت اعلام کرد که کاربران با رفتن به قسمت تنظیمات گوش و مراجعه به بخش Advanced و غیرفعال کردن گزینه Join user experience program می توانند از ارسال این داده ها جلوگیری کنند.
کدی که مسئول جمع آوری داده های شخصی کاربران بود مربوط به سرویس های OnePlus Device Manager و OnePlus Device Manager Provider است. مور می گوید این سرویس ها طی ده ساعت ۱۶ مگابایت داده را برای این شرکت ارسال کرده اند. از آن جایی که به نظر می رسد این دو سرویس بخشی جداناپذیر از سیستم عامل اکسیژن تلفن همراه وان پلاس باشند، دستکاری آنها ممکن است موجب بروز نقص در عملکرد دستگاه شود. اگر چنین مساله ای درست باشد باز هم راهی برای مسدود کردن این شکل از جمع آوری اطلاعات وجود دارد.
یکی از کاربران توئیتر به نام @JaCzekanski روشی برای حذف سرویس OnePlus Device Manager با استفاده از ابزار Android Debug Bridge (ADB) بدون نیاز به روت کردن تلفن همراه را در اختیار کاربران گذاشته است. کاربران باید ADB را روی تلفن همراه های وان پلاس نصب کرده و بعد از فعال کردن ویژگی USB debugging آن را به کامپیوتر متصل کنند. بعد از این برای حذف همیشگی سرویس مذکور باید این دستور را اجرا کنند:
[ pm uninstall -k –user 0 net.oneplus.odm ]