{"id":195148,"date":"2017-10-12T18:07:47","date_gmt":"2017-10-12T16:07:47","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=195148"},"modified":"2021-02-11T18:37:38","modified_gmt":"2021-02-11T17:37:38","slug":"oneplus-zieht-in-oxygenos-unerlaubt-nutzerdaten-ab","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/10\/12\/oneplus-zieht-in-oxygenos-unerlaubt-nutzerdaten-ab\/","title":{"rendered":"OnePlus zieht in OxygenOS unerlaubt Nutzerdaten ab"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Die chinesischen Macher der OnePlus-Smartphones bedienen sich \u00fcber ihr OxygenOS ungefragt an privaten Nutzerdaten und verschl\u00fcsseln diese noch nicht einmal.<\/p>\n<p><!--more--><\/p>\n<p>Der chinesische Smartphone-Hersteller <a href=\"https:\/\/de.wikipedia.org\/wiki\/OnePlus\" target=\"_blank\" rel=\"noopener\">OnePlus<\/a> gilt ja etwas als Underdog, der mit seinen OnePlus One-Smartphones teilweise in Blogs richtig gehyped wurde. Statt Android verwendet der Anbieter ein <a href=\"https:\/\/de.wikipedia.org\/wiki\/OxygenOS\" target=\"_blank\" rel=\"noopener\">OxygenOS<\/a> genanntes Derivat.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"OnePlus Daten\" src=\"https:\/\/www.chrisdcmoore.co.uk\/images\/zap-oneplus-1.png\" alt=\"OnePlus Daten\" width=\"642\" height=\"471\" \/><br \/>\n(Quelle: Christopher Moore)<\/p>\n<p>Bereits im Juni 2017 hat der britische Blogger und Sicherheitsforscher Christopher Moore <a href=\"https:\/\/www.chrisdcmoore.co.uk\/post\/oneplus-analytics\/\" target=\"_blank\" rel=\"noopener\">herausgefunden<\/a>, dass in OxygenOS Schn\u00fcffelfunktionen enthalten sind. Im Datenverkehr tauchte h\u00e4ufiger die URL open[dot]oneplus[dot]net auf (siehe obiger Screenshot). Die Domain wird von OnePlus bei Amazon AWS gehostet.<\/p>\n<p>Das Smartphone sendet einen Datenstrom zur Authentifizierung und einen mit dem Titel <em>Pushdata<\/em>. Der zweite Datenstrom enth\u00e4lt wohl, neben Informationen zu Abst\u00fcrzen oder zum Ein-\/Ausschalten auch Nutzerdaten wie die IMEI, die Telefonnummer, den IMSI-Pr\u00e4fix, sowie Mac-Adressen, WLAN-Namen und die Ger\u00e4tenummer. OnePlus kennt die Kunden anhand der Ger\u00e4tenummer, da die Smartphone ausschlie\u00dflich per Online-Bestellung beim Hersteller (z.B. hier) geordert werden k\u00f6nnen. Auch die Information, welche App wie lange genutzt wird, \u00fcbertr\u00e4gt die Schn\u00fcffelfunktion.<\/p>\n<p>Der Hersteller OnePlus sieht keine M\u00f6glichkeit vor, diese Daten\u00fcbertragung in OxygenOS abzuschalten, da dies gewollt sei.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/twitter.com\/chrisdcmoore?ref_src=twsrc%5Etfw\">@chrisdcmoore<\/a> I've read your article about OnePlus Analytics. Actually, you can disable it permanently: pm uninstall -k &#8211;user 0 pkg<\/p>\n<p>\u2014 Jakub Czeka\u0144ski (@JaCzekanski) <a href=\"https:\/\/twitter.com\/JaCzekanski\/status\/917691128807395328?ref_src=twsrc%5Etfw\">10. Oktober 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Jakub Czekansk wies per Twitter darauf hin, dass man mit obigen Befehl den Dienst permanent deaktivieren k\u00f6nne. Gegen\u00fcber <a href=\"https:\/\/www.androidauthority.com\/oneplus-collecting-user-data-without-permission-806579\/\" target=\"_blank\" rel=\"noopener\">Android Authority<\/a> gab der Hersteller folgende Statement ab.<\/p>\n<blockquote><p>We securely transmit analytics in two different streams over HTTPS to an Amazon server. The first stream is usage analytics, which we collect in order for us to more precisely fine tune our software according to user behavior. This transmission of usage activity can be turned off by navigating to 'Settings' -&gt; 'Advanced' -&gt; 'Join user experience program'. The second stream is device information, which we collect to provide better after-sales support<\/p><\/blockquote>\n<p>Auf die Datenschutzbedenken ging OnePlus nicht ein. Android Police schreibt, dass die Firma OnePlus, die bisher durch fehlenden After-Sale-Support negativ aufgefallen sei, nun vorgebe, dass man (ohne Benutzerzustimmung) Daten f\u00fcr genau diesen After-Sale-Support sammele. Wer sich f\u00fcr das Thema interessiert (ich habe kein OnePlus-Smartphone), findet neben <a href=\"https:\/\/www.chrisdcmoore.co.uk\/post\/oneplus-analytics\/\" target=\"_blank\" rel=\"noopener\">dem Artikel<\/a> von Christopher Moor, dem <a href=\"https:\/\/www.androidauthority.com\/oneplus-collecting-user-data-without-permission-806579\/\" target=\"_blank\" rel=\"noopener\">Android Authority<\/a>-Beitrag und <a href=\"https:\/\/www.engadget.com\/2017\/10\/11\/oneplus-oxygenos-data-anonymity\/\" target=\"_blank\" rel=\"noopener\">diesem Engadget-Artikel<\/a> auch <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Oneplus-loggt-Daten-der-Smartphone-User-3858834.html\" target=\"_blank\" rel=\"noopener\">einen Beitrag<\/a> in deutscher Sprache bei heise.de.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die chinesischen Macher der OnePlus-Smartphones bedienen sich \u00fcber ihr OxygenOS ungefragt an privaten Nutzerdaten und verschl\u00fcsseln diese noch nicht einmal.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1376],"tags":[4328,4345],"class_list":["post-195148","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-smartphone","tag-sicherheit","tag-smartphone"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/195148","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=195148"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/195148\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=195148"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=195148"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=195148"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}