OnePlus afsløret i at indsamle store mængder personlige data

Den kinesiske producent OnePlus er kommet i modvind, efter det i sidste uge kom frem, at firmaet konstant indsamler informationer om brugernes enheder og deres færden på OnePlus-mobilerne. Det er sikkerhedsbloggeren Christopher Moore, der opdagede OnePlus’ indsamling af data.

På sin sikkerhedsblog har han skrevet et længere indlæg om, hvad OnePlus indsamler af data og hvordan OnePlus’ kundeservice håndterede hans henvendelser. Det viser sig, at der er to indbyggede systemapps fra OnePlus indbygget i alle telefonerne kaldet ’OnePlus Device Manager’ og ’OnePlus Device Manager Provider’.

Læs også: Android 8.0 Oreo ude til OnePlus 3 og 3T som betaudgave

Da Christopher Moore overvågede sin netværkstrafik fra en OnePlus 2, opdagede han, at telefonen kommunikerede med domænet open.oneplus.net. Han gravede dybere i netværkstrafikken og kunne se, at OnePlus registrerer med det præcise klokkeslæt, hvornår brugerne tænder og slukker skærmen samt genstarter telefonen. Alt sammen sendes til en Amazon-server.

Telefonnummer, serienummer m.m. bliver logget

Overvågningen bliver dog af endnu værre karakter, efterhånden som han graver dybere. Det viser sig, at OnePlus også logger brugernes IMEI-nummer, serienummer, telefonnummer, MAC-adresse, navn på mobilnetværk, IMSI-nummer, og netværksinformationerne ESSID og BSSID.

Læs også: OnePlus 5 model forsvinder: en afløser på vej?

Samtidig registrerer OnePlus også ned til hvert sekund, hvilke apps folk åbner. Og det bliver værre endnu. OnePlus logger også, hvilke handlinger der åbnes i de forskellige applikationer. OnePlus logger ikke kun, at du har eksempelvis Chrome-browseren åben, men at du klikker på ’fane’-ikonet, som åbner en bestemt aktivitet, der også registreres.

Der må altså siges at være tale om en ganske omfattende overvågning af brugernes færden på OnePlus-telefonerne. Særligt fordi blandt andet serienummeret og IMEI-numre indsamles, kan de mange oplysninger i teorien kobles sammen med personerne bag telefonerne.

OnePlus-kundeservice: Prøv at nulstille din mobil

Som enhver anden sikkerhedsblogger forsøger Christopher Moore at konfrontere OnePlus med den massive logning af brugernes færden. Det får han dog ikke meget ud af. Det første svar fra OnePlus’ kundeservice på Twitter består i en guide, hvor sikkerhedsbloggeren opfordres til at slette telefonens cache ved at starte telefonen op i den såkaldte fastboot-menu.

Try wiping out the cache.Turn off your device>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>Power key + volume down>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>English>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>Wipe and cache>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>Wipe Cache>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>Confirm wipe>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>Reboot.

— OnePlus Support (@OnePlus_Support)

13. januar 2017

Det gjorde ingen forskel, svarer han tilbage til OnePlus. I et nyt tweet svarer OnePlus’ kundeservice derefter, at han nu bør nulstille sin telefon uvidende om, at det absolut ingen betydning har for OnePlus’ indsamling af data. Mere hjælp kom der ikke fra OnePlus på Twitter.

I dagene efter trak sagen den ene overskrift efter den anden, og først fredag den 13. oktober reagerer OnePlus for alvor. Det er firmaets medstifter, Carl Pei, der har skrevet et længere forumindlæg.

Her fortæller han, at der er tale om indsamling af data i analyseøjemed for at kunne forbedre dets produkter og brugeroplevelse. Der indsamles to typer af data, forklarer han. Den første type er brugsdata – altså det data, som viser brugernes færden på telefonerne. Den anden del er de personlige informationer omkring enheden såsom IMEI-nummer.

Læs også: Ejere af OnePlus 3 advares mod ‘skadelig’ system-app

Carl Pei fortæller, at det er muligt for brugerne at vælge indsamlingen af førstnævnte type data fra ved at gå ind i Indstillinger » Avanceret » Tilmeld dig brugeroplevelsesprogram. Framelder man sig dette, vil enhedens oplysninger heller ikke blive koblet sammen med dataindsamlingen.

Problemet er blot, at dette ikke er muligt på ældre telefoner såsom OnePlus 2 og OnePlus X, hvor denne Avanceret-indstilling ikke er lagt ind.

Ændrer praksis og stopper indsamlingen af visse typer data

Som det er lige nu, er der ingen mulighed for at frasige sig dataindsamlingen, når man opsætter telefonen første gang – altså før dataindsamlingen er begyndt. Carl Pei lover dog, at alle OnePlus-mobiler med OxygenOS vil blive opdateret inden udgangen af oktober måned, hvor der ændres ved denne praksis. Det vil sige OnePlus 2, OnePlus X, OnePlus 3, OnePlus 3T og OnePlus 5.

Under opsætningen af telefonerne vil man fremover møde en skærm, hvor brugeren aktivt kan vælge at være en del af brugeroplevelsesprogrammet og dermed dataindsamlingen. Der vil også være en række betingelser, som man skal acceptere i den forbindelse.

Læs også: Android O bliver sidste opdatering til OnePlus 3 og 3T

OnePlus stopper altså ikke med at indsamle data med henblik på at kunne forbedre dets produkter, men sikrer sig i stedet, at der kun indsamles data hos dem, der eksplicit har givet lov til det. Alligevel kunne noget tyde på, at OnePlus selv mener, at der er blevet logget lige lovlig meget data om brugerne. I hvert fald oplyser han i blogindlægget, at producenten efter denne afsløring stopper med at indsamle brugernes telefonnumre, MAC-adresser og Wi-Fi-information.