Mobile

OnePlus collecte des données analytiques des utilisateurs sans leur autorisation

Par

le

Un ingénieur logiciel a découvert que OnePlus collectait activement certaines données sur ses utilisateurs à leur insu ou sans leur permission.

Le fabricant de téléphones chinois OnePlus est à nouveau au centre d’une polémique car il a été récemment découvert qu’il collectait les données analytiques des utilisateurs sans leur permission. Les données collectées par OnePlus auprès de ses utilisateurs comprennent les numéros IMEI, les adresses MAC, les noms de réseaux mobiles et les préfixes IMSI, les numéros de série et bien plus encore.

Chris Moore, ingénieur logiciel basé au Royaume-Uni, a publié hier un article détaillé montrant que OnePlus est capable de collecter ses données analytiques sur son smartphone OnePlus 2 sans son autorisation. Moore a découvert cela en proxiant le trafic Internet sur son onePlus 2 en utilisant OWASP ZAP, ce qui lui a permis de suivre l’activité réseau de son téléphone. Moore a remarqué qu’une grande quantité de données est envoyée au serveur open.oneplus.net via le protocole HTTPS sécurisé. Il a également creusé plus profondément dans open.oneplus.net et a découvert que le nom de domaine était une instance Amazon AWS, qui appartient également à OnePlus.

En utilisant la clé d’authentification sur son téléphone, Moore a pu déchiffrer les données collectées par l’entreprise à partir de son OnePlus 2. Il a vu que son téléphone envoyait des informations horodatées sur le verrouillage, déverrouillage et les redémarrages inattendus, selon Android Police.

Demander des données horodatées pour des redémarrages inattendus est logique. Cela permet aux développeurs de corriger les bogues présents dans le système d’exploitation. Ce que Moore considérait comme excessif, cependant, est la collecte de données relatives au moment où les utilisateurs verrouillent et déverrouillent leur téléphone. C’est pourquoi Moore a continué à administrer son proxy pendant une longue période de temps et a découvert encore plus d’informations sur ce que OnePlus recueille.

Il a découvert que les données envoyées aux serveurs OnePlus comprenaient le numéro IMEI du téléphone, le numéro de téléphone, les adresses MAC, les noms de réseaux mobiles et les préfixes IMSI, les informations sur la connexion Wi-Fi et le numéro de série du téléphone. La pire chose que Moore a découvert, c’est que certaines des données collectées par OnePlus incluaient le nombre de fois qu’un utilisateur ouvre une application et combien de temps l’application est ouverte sur son appareil.

« Ces données d’événements contiennent des horodatages des activités qui ont été déclenchées dans quelles applications, à nouveau estampillées avec le numéro de série du téléphone », a expliqué Moore sur son site Web. « J’ai demandé à Twitter de demander à OnePlus sur Twitter comment cela pourrait être désactivé, ce qui a conuits aux pages d’aides basiques, avant d’être confronté à un silence radio.

Android Authority a pu parler à un représentant de OnePlus à propos de ce problème, mais a reçu une réponse insatisfaisante. Le représentant n’a pas fourni d’explications sur la raison pour laquelle OnePlus n’a pas simplement opté pour un opt-in au lieu de le faire discrètement en arrière-plan. Ce qui est également inquiétant, c’est que l’entreprise n’a même pas abordé les implications sur la vie privée des utilisateurs. Le représentant a déclaré que les utilisateurs peuvent désactiver la transmission des données en la désactivant dans Paramètres> Avancé> ‘Join user experience program’.

Le code responsable de la collecte des données privées des utilisateurs fait partie du OnePlus Device Manager et du OnePlus Device Manager Provider. Moore a déclaré que ces services avaient envoyé 16 Mo de données durant environ 10 heures. Étant donné que ces deux services font partie intégrante du système d’exploitation OxygenOS de OnePlus, l’ingérence pourrait avoir des conséquences. Même si c’est le cas, il existe un moyen de bloquer définitivement cette forme intrusive de collecte de données.

L’utilisateur de Twitter @JaCzekanski a souligné que le gestionnaire de périphériques OnePlus peut être supprimé à l’aide de l’ADB (Android Debug Bridge) sans avoir à rooter le téléphone. Android Police a expliqué que les utilisateurs devront simplement installer ADB sur leur appareil OnePlus et brancher leur téléphone sur un ordinateur avec le débogage USB activé. Les utilisateurs devront exécuter cette commande [pm uninstall -k –user 0 net.oneplus.odm] pour supprimer définitivement le gestionnaire de périphériques OnePlus.

Articles recommandés