Das OnePlus 3 wird am 14. Juni offiziell vorgestellt und noch am gleichen Tag erhältlich sein (Bild via @evleaks).
OnePlus schneidet in großem Umfang Nutzerdaten mit und übermittelt sie an einen bei AWS gehosteten Server. Mit übertragen wird dabei immer die Seriennummer des Geräts. Damit kann OnePlus als Direktvermarkter alles dem einzelnen Kunden zuordnen, der das Smartphone bei ihm gekauft hat. Eine Erlaubnis des Nutzers für die umfangreiche Datensammlung holt er nicht ein.
Das entdeckte eher zufällig Softwareentwickler Christopher Moore, als er an einem Hackerwettbewerb teilnahm. Während er den Internet-Traffic seines OnePlus 2 durch ein Sicherheitstool leitete, fielen ihm Anfragen der Domain open.oneplus.net auf. Da er sie zuvor noch nicht bemerkt hatte, entschied er sich zu genauerem Hinsehen. Ein DNS-Lookup verwies auf eine Instanz von Amazon Web Services (AWS) in den USA. Erwähnung fand außerdem Apache Hadoop, ein Framework zur verteilten Verarbeitung riesiger Datenmengen.
Moore stellte fest, dass umfangreiche Geräteinformationen übertragen wurden wie IMEI des Telefons, Telefonnummer des Nutzers, MAC-Adresse, IMSI-Präfix, Netzbetreiber, WLAN-Bezeichnung und mehr. Darüber hinaus ließ sich OnePlus nicht nur über jeden Neustart und jeden Ladevorgang, sondern auch ausführlich über die individuelle App-Nutzung informieren. An den Server übertragen wurde etwa, wann und wie lange der Softwareentwickler Slack und Microsoft Outlook genutzt hatte. Mit Datum und Uhrzeit wurde erfasst, welche Aktivitäten in welchen Anwendungen angestoßen wurden. Immer mit dabei war die Seriennummer, die OnePlus eine persönliche Identifikation ermöglichte.
Der für Redgate Software tätige Entwickler fand heraus, dass der für das Datensammeln zuständige Code in OnePlus Device Manager und OnePlus Device Manager Provider steckte. Die damit verbundenen Services übertrugen von seinem Smartphone in rund 10 Stunden 16 MByte an Daten. Da er das nicht zulassen wollte, fragte er über Twitter bei OnePlus nach einer Möglichkeit, das unberechtigte Datensammeln abzustellen. Es kamen jedoch nur ausweichende Antworten, und auch die OnePlus-Foren waren in dieser Hinsicht nicht ergiebig.
Die öffentliche Aufmerksamkeit hat den chinesischen Smartphonehersteller inzwischen doch zu einer Stellungnahme veranlasst. Darin ist von einer sicheren Übertragung von Analytikdaten in zwei verschiedenen Streams über HTTPS an einen Amazon-Server die Rede. Beim ersten Stream gehe es um Nutzungsanalyse, was dazu beitragen soll, die Software entsprechend dem Nutzerverhalten zu optimieren. Nutzer könnten diesen Stream deaktivieren in den Systemeinstellungen unter ->Erweitert ->Nehmen Sie an unserem Kundenzufriedenheitsprogramm teil.
Der zweite Stream sammelt und übermittelt laut OnePlus Geräteinformationen, um nach dem Verkauf einen besseren Support zu ermöglichen. „Die Ironie ist, dass OnePlus die Privatsphäre seiner Nutzer verletzt, um besseren Support zu bieten“, kommentiert Android Authority. „Von allen Herstellern versucht ausgerechnet das Unternehmen, das so viele Nutzer mit seinem fehlenden After-Sales-Support frustriert und verärgert hat, sein unerlaubtes Datensammeln damit zu rechtfertigen, dass es dem Support dient.“
Eine Möglichkeit, das Datensammeln vollständig abzustellen, erwähnte OnePlus nicht. Zumindest versierte Nutzer können es dennoch mit einer Empfehlung von Twitter-Nutzer Jakub Czekański versuchen. Demnach sorgt der Dienst „net.oneplus.odm.provider“ für das Absaugen von Nutzerdaten.
Um diesen zu entfernen, muss die Android Degbug Bridge (ADB) auf dem PC installiert und der USB-Debugmodus auf dem Smartphone aktiviert werden. Damit man das Smartphone in diesem Betriebsmodus vom PC aus ansprechen kann, muss man außerdem die ADB-USB-Treiber für das Smartphone installieren.
Im Test hat das mit den Standard-Google-Treibern in Verbindung mit dem OnePlus 5 funktioniert. Den Debugmodus aktiviert man im Smartphone unter Einstellungen – Entwickleroptionen – USB-Debugging. Der Eintrag „Entwickleroptionen“ ist standardmäßig allerdings nicht sichtbar. Er lässt sich durch siebenmaliges Tippen auf „Build-Nummer unter Einstellungen – Über das Telefon aktivieren. Root-Zugang ist dafür nicht erforderlich.
Anschließend kann man mit dem Kommandzeilen-Tool adb (hierfür reicht der unten angegebene Downlaod „ADB & Fastboot 1.4.2“ aus) die fragliche Komponente löschen. Mit „adb devices“ lässt sich überprüfen, ob die Kommunikation mit dem Smartphone funktioniert. Beim ersten Versuch muss am Smartphone die Kommunikationsanfrage bestätigt werden. Wenn nach der Eingabe „adb devices“ das Gerät aufgelistet wird und nicht „unauthorized“ in der Ausgabe erscheint, setzt man folgenden Befehl ab:
adb shell pm uninstall -k --user "0" net.oneplus.odm.provider
Nun ist die Komponente net.oneplus.odm.provider gelöscht. Ein nochmaliges Absetzen des selben Befehls zeigt dann, dass der Dienst nicht mehr installiert ist.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
