Categories: MobileSmartphone

Smartphonehersteller OnePlus zeichnet Nutzerdaten auf

OnePlus schneidet in großem Umfang Nutzerdaten mit und übermittelt sie an einen bei AWS gehosteten Server. Mit übertragen wird dabei immer die Seriennummer des Geräts. Damit kann OnePlus als Direktvermarkter alles dem einzelnen Kunden zuordnen, der das Smartphone bei ihm gekauft hat. Eine Erlaubnis des Nutzers für die umfangreiche Datensammlung holt er nicht ein.

Das entdeckte eher zufällig Softwareentwickler Christopher Moore, als er an einem Hackerwettbewerb teilnahm. Während er den Internet-Traffic seines OnePlus 2 durch ein Sicherheitstool leitete, fielen ihm Anfragen der Domain open.oneplus.net auf. Da er sie zuvor noch nicht bemerkt hatte, entschied er sich zu genauerem Hinsehen. Ein DNS-Lookup verwies auf eine Instanz von Amazon Web Services (AWS) in den USA. Erwähnung fand außerdem Apache Hadoop, ein Framework zur verteilten Verarbeitung riesiger Datenmengen.

Moore stellte fest, dass umfangreiche Geräteinformationen übertragen wurden wie IMEI des Telefons, Telefonnummer des Nutzers, MAC-Adresse, IMSI-Präfix, Netzbetreiber, WLAN-Bezeichnung und mehr. Darüber hinaus ließ sich OnePlus nicht nur über jeden Neustart und jeden Ladevorgang, sondern auch ausführlich über die individuelle App-Nutzung informieren. An den Server übertragen wurde etwa, wann und wie lange der Softwareentwickler Slack und Microsoft Outlook genutzt hatte. Mit Datum und Uhrzeit wurde erfasst, welche Aktivitäten in welchen Anwendungen angestoßen wurden. Immer mit dabei war die Seriennummer, die OnePlus eine persönliche Identifikation ermöglichte.

Der für Redgate Software tätige Entwickler fand heraus, dass der für das Datensammeln zuständige Code in OnePlus Device Manager und OnePlus Device Manager Provider steckte. Die damit verbundenen Services übertrugen von seinem Smartphone in rund 10 Stunden 16 MByte an Daten. Da er das nicht zulassen wollte, fragte er über Twitter bei OnePlus nach einer Möglichkeit, das unberechtigte Datensammeln abzustellen. Es kamen jedoch nur ausweichende Antworten, und auch die OnePlus-Foren waren in dieser Hinsicht nicht ergiebig.

Die öffentliche Aufmerksamkeit hat den chinesischen Smartphonehersteller inzwischen doch zu einer Stellungnahme veranlasst. Darin ist von einer sicheren Übertragung von Analytikdaten in zwei verschiedenen Streams über HTTPS an einen Amazon-Server die Rede. Beim ersten Stream gehe es um Nutzungsanalyse, was dazu beitragen soll, die Software entsprechend dem Nutzerverhalten zu optimieren. Nutzer könnten diesen Stream deaktivieren in den Systemeinstellungen unter ->Erweitert ->Nehmen Sie an unserem Kundenzufriedenheitsprogramm teil.

Der zweite Stream sammelt und übermittelt laut OnePlus Geräteinformationen, um nach dem Verkauf einen besseren Support zu ermöglichen. „Die Ironie ist, dass OnePlus die Privatsphäre seiner Nutzer verletzt, um besseren Support zu bieten“, kommentiert Android Authority. „Von allen Herstellern versucht ausgerechnet das Unternehmen, das so viele Nutzer mit seinem fehlenden After-Sales-Support frustriert und verärgert hat, sein unerlaubtes Datensammeln damit zu rechtfertigen, dass es dem Support dient.“

OnePlus: Späh-Komponente deinstallieren

Eine Möglichkeit, das Datensammeln vollständig abzustellen, erwähnte OnePlus nicht. Zumindest versierte Nutzer können es dennoch mit einer Empfehlung von Twitter-Nutzer Jakub Czekański versuchen. Demnach sorgt der Dienst „net.oneplus.odm.provider“ für das Absaugen von Nutzerdaten.

Um diesen zu entfernen, muss die Android Degbug Bridge (ADB) auf dem PC installiert und der USB-Debugmodus auf dem Smartphone aktiviert werden. Damit man das Smartphone in diesem Betriebsmodus vom PC aus ansprechen kann, muss man außerdem die ADB-USB-Treiber für das Smartphone installieren.

Im Test hat das mit den Standard-Google-Treibern in Verbindung mit dem OnePlus 5 funktioniert. Den Debugmodus aktiviert man im Smartphone unter Einstellungen – Entwickleroptionen – USB-Debugging. Der Eintrag „Entwickleroptionen“ ist standardmäßig allerdings nicht sichtbar. Er lässt sich durch siebenmaliges Tippen auf „Build-Nummer unter Einstellungen – Über das Telefon aktivieren. Root-Zugang ist dafür nicht erforderlich.

Anschließend kann man mit dem Kommandzeilen-Tool adb (hierfür reicht der unten angegebene Downlaod „ADB & Fastboot 1.4.2“ aus) die fragliche Komponente löschen. Mit „adb devices“ lässt sich überprüfen, ob die Kommunikation mit dem Smartphone funktioniert. Beim ersten Versuch muss am Smartphone die Kommunikationsanfrage bestätigt werden. Wenn nach der Eingabe „adb devices“ das Gerät aufgelistet wird und nicht „unauthorized“ in der Ausgabe erscheint, setzt man folgenden Befehl ab:

adb shell pm uninstall -k --user "0" net.oneplus.odm.provider

Nun ist die Komponente net.oneplus.odm.provider gelöscht. Ein nochmaliges Absetzen des selben Befehls zeigt dann, dass der Dienst nicht mehr installiert ist.

Downloads

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago