Die chinesischen Macher der OnePlus-Smartphones bedienen sich über ihr OxygenOS ungefragt an privaten Nutzerdaten und verschlüsseln diese noch nicht einmal.
Anzeige
Der chinesische Smartphone-Hersteller OnePlus gilt ja etwas als Underdog, der mit seinen OnePlus One-Smartphones teilweise in Blogs richtig gehyped wurde. Statt Android verwendet der Anbieter ein OxygenOS genanntes Derivat.
(Quelle: Christopher Moore)
Bereits im Juni 2017 hat der britische Blogger und Sicherheitsforscher Christopher Moore herausgefunden, dass in OxygenOS Schnüffelfunktionen enthalten sind. Im Datenverkehr tauchte häufiger die URL open[dot]oneplus[dot]net auf (siehe obiger Screenshot). Die Domain wird von OnePlus bei Amazon AWS gehostet.
Das Smartphone sendet einen Datenstrom zur Authentifizierung und einen mit dem Titel Pushdata. Der zweite Datenstrom enthält wohl, neben Informationen zu Abstürzen oder zum Ein-/Ausschalten auch Nutzerdaten wie die IMEI, die Telefonnummer, den IMSI-Präfix, sowie Mac-Adressen, WLAN-Namen und die Gerätenummer. OnePlus kennt die Kunden anhand der Gerätenummer, da die Smartphone ausschließlich per Online-Bestellung beim Hersteller (z.B. hier) geordert werden können. Auch die Information, welche App wie lange genutzt wird, überträgt die Schnüffelfunktion.
Anzeige
Der Hersteller OnePlus sieht keine Möglichkeit vor, diese Datenübertragung in OxygenOS abzuschalten, da dies gewollt sei.
@chrisdcmoore I've read your article about OnePlus Analytics. Actually, you can disable it permanently: pm uninstall -k –user 0 pkg
— Jakub Czekański (@JaCzekanski) 10. Oktober 2017
Jakub Czekansk wies per Twitter darauf hin, dass man mit obigen Befehl den Dienst permanent deaktivieren könne. Gegenüber Android Authority gab der Hersteller folgende Statement ab.
We securely transmit analytics in two different streams over HTTPS to an Amazon server. The first stream is usage analytics, which we collect in order for us to more precisely fine tune our software according to user behavior. This transmission of usage activity can be turned off by navigating to 'Settings' -> 'Advanced' -> 'Join user experience program'. The second stream is device information, which we collect to provide better after-sales support
Auf die Datenschutzbedenken ging OnePlus nicht ein. Android Police schreibt, dass die Firma OnePlus, die bisher durch fehlenden After-Sale-Support negativ aufgefallen sei, nun vorgebe, dass man (ohne Benutzerzustimmung) Daten für genau diesen After-Sale-Support sammele. Wer sich für das Thema interessiert (ich habe kein OnePlus-Smartphone), findet neben dem Artikel von Christopher Moor, dem Android Authority-Beitrag und diesem Engadget-Artikel auch einen Beitrag in deutscher Sprache bei heise.de.
Anzeige
Krasse Nummer!
PS.: Hat mal jemand ermittelt, was die Google Apps so alles übertragen?
Hmmm… wie funktioniert eigentlich die neue eSim…?
Ein Teil von dem ganzen Quatsch muss das Gerät doch dann auch übertragen um eben Identifizierbar zu werden. Das ist doch der Wunsch daran.
Anders lassen sich mobile Geräte einfach nicht staatlich kontrollieren und annonymes Telefonieren wäre sogar hierzulande etwas übertrieben. Mit PrePaid haben wir diesen Heck Meck ja schon durch.
Ist das vielleicht nicht auch eine Auflage verschiedener Staaten oder sowas?
Nicht alle Daten sind schließlich aus reiner Datengier interessant.
Was beim einen sauer aufstößt, ist woanders vielleicht bedingung überhaupt am Markt zu sein und bei einem mobilen Gerät ist ein Landeswechsel halt immer möglich. Oder wurde schon nachgewisen, das die Daten direkt an dritte weiterverkauft werden?
An der Stelle mit mobilen Geräten wird echt kompliziert mit annonym und Datenschutz.
@Ben
Hauptsächlich wird alles über die Google Play Services übertragen und das ist auf jeden Android Gerät drauf und nicht z.B. nur auf den Pixel Geräten. Um eine Vorstellung davon zu bekommen, kann man sich mal folgenden Guide anschauen.
Dieser beschreibt zwar wie man einen 0% Idle bekommt aber das liegt daran, dass jegliche Wakelocks bzw. Alarme zur Analyse abgeschaltet werden. Ähnlich den geplanten Aufgaben von Windows, wenn das Gerät getriggert wird etwas zu übertragen.
https://forum.xda-developers.com/android/general/guide-0-0-hour-idle-battery-drain-stock-t2973588
Hallo Seven,
gibt es so einen Guide auch für Windows 7/8.1/10?
Ich nutze folgende Liste für Windows 10 bzgl. "Scheduled Tasks", "Group Policy Editor", "Registry Editor" und die "Hosts File List" für den HostsMan.
http://www.msfn.org/board/topic/174160-guide-disable-data-collection-in-windows-10/
Zusätzlich habe ich noch ein paar nicht benötigte Dienste wie Cortana etc. mit den Gruppenrichtlinien deaktiviert. Ich habe mir dort eine persönliche Liste gemacht. Deskmodder.de hat gute Anleitungen wie man weitere Dienste abschaltet.
Ich würde niemals irgendwelche AntiSpy Tools verwenden bzw. Windows Apps mit Dritt-Tools oder ähnliches deinstallieren.
Weiterhin nutze ich den Hostsman mit Listen für Malware etc.. Das hält einiges von einem fern.
Man sollte sich aber auch bewusst sein, dass man damit nie alles abgeschalten kann. Selbst wenn die relevanten Microsoft Server Adressen in die Hosts File hinzugefügt werden, winkt die dsnapi.dll die notwendigen Sachen für Microsoft durch. Das kann man zwar mit Hexeditor ebenfalls unterbinden (es gibt auch dafür eine Anleitung) aber das war mir nach einen erfolgreichen Durchlauf dann doch zu aufwendig, dieses bei jedem Upgrade erneut durchzuführen.
Es gibt übrigens schon ein Statement von OnePlus wie es denen Leid tun und bis Ende diese Datensammelei nur noch per Opt-In möglich sein wird.
Warum denn nicht gleich so? Also das Vertrauen ist erst mal weg.
https://forums.oneplus.net/threads/lets-talk-about-oxygenos-analytics.654820/
http://stadt-bremerhaven.de/oneplus-aeussert-sich-zu-schnueffel-vorwuerfen-verspricht-besserung/