miércoles, 11 de octubre de 2017

EL ONEPLUS ESPÍA LOS MOVILES DE SUS USUARIOS


            OnePlus ha sido pillada recopilando una gran cantidad de datos de sus usuarios. Ha sido un ingeniero de software llamado Christopher Moore quien ha descubierto usando OWASP ZAP, una herramienta que analiza tráfico entrante y saliente del móvil, que su OnePlus 2 realizaba una gran cantidad de conexiones al dominio open.oneplus.net. Este dominio está alojado en Amazon Web Services (AWS) y es propiedad de OnePlus.

   Los datos enviados estaban cifrados con HTTPS, y usando la clave de verificación de su propio móvil pudo descifrar el tráfico, en el cual vio que el móvil estaba enviando información sobre bloqueos, desbloqueos y reinicios inesperados del móvil; todos ellos con el minuto concreto en el que ocurrían. Aunque en principio que se envíe cuándo se reinicia el móvil a modo de informe de errores es positivo para saber por qué ha ocurrido, el hecho de que la compañía sepa cuándo estás bloqueando y desbloqueando el móvil para saber cuánto lo usas es excesivo.

   Moore decidió dejar la aplicación abierta para ver qué más enviaba el móvil. Entre esos datos se encuentran números IMEI, direcciones MAC, nombres de red, prefijos IMSI, números de serie, información sobre la red WiFi a la que estaba conectado el usuario, etc. Otros datos que se recopilaban recogen cada vez que una aplicación se abría. Esto, además de ser una total vulneración de privacidad del usuario, también supone un gasto de batería inútil porque esto no le reporta ningún beneficio al usuario.

   OnePlus ha afirmado que recoge dos canales de datos de los usuarios: uno son los datos de analítica que dicen usar para “mejorar el software en función de cómo lo usan los usuarios”. Este tipo de envío de datos se puede desactivar en Ajustes – Avanzado – Unirse al programa de experiencia del usuario.

   El segundo canal de datos recoge información del dispositivo, como el IMEI y la dirección MAC. OnePlus afirma que esto lo hacen para ofrecer un mejor servicio de asistencia post-venta, y no se puede desactivar al no haber una opción como tal. Lo que sí se puede hacer es borrar la app a través de ADB (sin que haga falta root). Para ello, teniendo ADB instalado, conectamos el móvil al PC con la Depuración de USB activada, y ponemos el siguiente comando. Usadlo bajo vuestra responsabilidad, y sabiendo que podría desestabilizar el sistema.

Fuente: ADSLZone