Para as empresas, os dados analíticos de software são bastante importantes, afinal, eles ajudam os desenvolvedores a descobrir quais recursos são mais usados no sistema, quais erros precisam ser corrigidos, etc.
No entanto, a OnePlus aparentemente não está sendo muito transparente com seus usuários, já que foi descoberto que a empresa está coletando grandes quantias de dados dos smartphones de seus clientes sem a permissão deles.
Christopher Moore, um engenheiro de software, foi o responsável por fazer essa descoberta. Durante um desafio hack, Moore começou a analisar o tráfego de internet vindo de seu OnePlus 2 usando “OWASP ZAP”.
Hey @OnePlus_Support, it's none of your business when I turn my screen on/off or unlock my phone – how do I turn this off? /cc:@troyhunt pic.twitter.com/VihaIDI6wP
— Christopher Moore (@chrisdcmoore) January 13, 2017
Em termos mais simples, esse processo permitiu que ele visse todo o tráfego de informações entrando e saindo do seu smartphone. Entre as atividade normais, o engenheiro constatou uma grande quantidade de solicitações para “open.oneplus.net”.
Curioso, ele foi mais a fundo no caso e viu que o domínio estava registrado no serviço AWS da Amazon, e estava no nome da OnePlus. Dessa forma, ele notou que seu dispositivo estava enviando constantemente dados a esse domínio através do HTTPS.
Ao descriptografar os códigos, eis a surpresa. Seu OnePlus 2 estava enviando dados de quantas vezes a tela foi bloqueada e desbloqueada, quanto tempo ela passou dessa forma, e sobre reinicializações inesperadas.
Sobre as reinicializações inesperadas tudo bem, afinal, isso pode ajudar os desenvolvedores a aprimorar o sistema do aparelho, mas como foi observado por Moore, registrar quantas vezes o usuário bloqueia e desbloqueia a tela é algo excessivo demais.
E não só isso, também foi visto que o smartphone estava liberando informações sobre o número IMEI, o número do chip telefônico presente, os endereços MAC, os nomes das redes móveis e os prefixos IMSI, informações da conexão Wi-Fi e o número de série do telefone.
Isso é muita informação a ser coletada, principalmente quando pode ser rastreado até o número de série de um aparelho. Em janeiro, Christopher solicitou a empresa dicas de como desativar a coleta geral de dados, mas a OnePlus deu respostas improdutivas como limpar o cache e executar uma reinicialização de fábrica. Em declaração, a fabricante disse:
Transmitimos análises de forma segura em dois fluxos diferentes através de HTTPS para um servidor Amazon. O primeiro fluxo é a análise de uso, que coletamos para que possamos ajustar mais precisamente o nosso software de acordo com o comportamento do usuário. Esta transmissão de atividade de uso pode ser desativada navegando para ‘Configurações’ -> ‘Avançado’ -> ‘Inscrever-se no programa de experiência do usuário’. O segundo fluxo é a informação do dispositivo, que coletamos para fornecer um melhor suporte pós-venda.
Mesmo que a empresa afirme que a maior parte da transmissão de dados possa ser desativada, você pode remover o aplicativo nativo que envia essas informações (OnePlus Device Manager) via ADB, sem necessitar de acesso “root”.
Basta ligar o seu smartphone OnePlus em um computador com o programa instalado, certificar que a depuração USB está ativa e executar este comando: “pm uninstall -k –user 0 net.oneplus.odm“.
Tenha em mente que ao realizar isso, você poderá “quebrar” outras funcionalidades do sistema, já que o gerenciador de dispositivos pode ser responsável por outras tarefas importantes, então, faça por sua conta e risco.
Sabemos que, evidentemente, a OnePlus não é a única empresa a “colecionar” informações de uso. Mas seria muito melhor para a imagem da companhia ser transparente com o que e por que está coletando, afinal, estamos numa época em que as informações dos usuários e a segurança são deveras importante.