OnePlus es un fabricante Android cuyo portfolio es muy reducido pero ha logrado convencer a propios y extraños gracias a móviles con una excelente calidad-precio. Además de un hardware competitivo una de sus señas de identidad es la apuesta por OxygenOS, una ROM propia parecida a Android stock pero con sus añadidos personalizados.
El rendimiento es excelente y hasta la fecha más allá de algunos problemas puntuales, OxygenOS no ha sido realmente noticia. Hasta ahora. Christopher Moore, ingeniero de seguridad, estaba examinando el tráfico a través de su OnePlus 2 cuando ha descubierto un comportamiento extraño en OxygenOS.
Envío de estadísticas de uso a los servidores de OnePlus
A través de la herramienta OWASP ZAP ha observado como su OnePlus se conectaba al dominio open.oneplus.net. Estas conexiones apuntan a un servidor de Amazon. ¿Qué se estaba enviando? Lo que ha descubierto es preocupante y de momento OnePlus no ha ofrecido una respuesta razonable.
Se estaban enviando información de autenticación y datos codificados en Base64. En un análisis más exhaustivo informa que a esos servidores se enviaba información el IMEI del teléfono, número de teléfono, direcciones MAC y nombres de las redes WiFi a las que nos conectamos. Una información a la que en ningún momento hemos dado acceso a OnePlus ni nos ha mostrado un mensaje de advertencia.
El servicio de OnePlus encargado de recolectar estos datos de uso forma parte del OnePlus Device Manager (OPDM) y el Device Manager Provider que ejecuta un servicio de OneplusAnalyticsJobService. En el caso del analista, en total unos 16MB de datos en unas diez horas.
Este servicio sería el equivalente a otros como los de Google que también recopilan estadísticas de uso. La cantidad de librerías utilizadas es muy elevada y entre ellas se encuentran algunas como las de geolocalización.
Se contactó con OnePlus a través de la cuenta de Twitter pero la respuesta ha sido resetear el móvil de fábrica. Algo que no tiene mucho sentido ya que estos servicios están dentro del propio OxygenOS.
Ni aviso ni forma de evitar el envío de datos sensibles
Otro problema es que no existe forma de desactivar esta recolección de datos excepto rooteando el dispositivo y bloqueando una de las apps del sistema. Es un problema muy serio ya que la privacidad de los usuarios de OnePlus está quedando en entredicho con esta información.
Es cierto que otros fabricantes como Google también tienen servicios similares pero hay un par de detalles diferenciales; por un lado muestran una advertencia y en segundo lugar, no tenemos constancia que se envíen datos tan sensibles como el IMEI de nuestro móvil. Se trata de una manera de proceder que nos recuerda a los problemas que existen con la privacidad de las aplicaciones chinas o muchas VPN.
Desde aquí recomendamos a los usuarios de OnePlus o bien instalar ROMs de código abierto que poner en valor la privacidad de los usuarios o al menos instalar Netguard para bloquear el acceso a esos servidores de OnePlus. Estaremos atentos a cualquier declaración de OnePlus frente a esta polémica y actualizaremos con su respuesta.
Más información | Chris's Security
En Xataka Android | Cómo cifrar tu móvil Android y qué consigues con ello
Ver 17 comentarios