Samsung 2025? Maak nu kans op een Music Frame t.w.v. €449!

‘OnePlus verzamelt gebruikersinformatie zonder toestemming’

Dimitry Vleugel
Dimitry Vleugel
11 oktober 2017, 11:00
4 min leestijd
‘OnePlus verzamelt gebruikersinformatie zonder toestemming’

Lees verder na de advertentie.

Wat is er aan de hand

Softwareontwikkelaar Chris Moore schrijft op zijn blog over security en tech over allerlei ingewikkelde onderwerpen. Tevens nam hij deel aan een wedstrijd waarin hij een vraagstuk moest oplossen. Om bij de oplossing te komen moest hij het internetverkeer bekijken op zijn OnePlus, waar hij ontdekte dat zijn telefoon data deelde waarvoor hij helemaal geen toestemming gegeven had.

Hij ontdekte dat zijn toestel grote pakketten aan informatie naar het domein open.oneplus.net stuurde. Informatie waar hij nooit toestemming voor had gegeven bij de installatie van zijn telefoon of op enig ander moment.

Welke data werd er verstuurd?

Moore zag dat de informatie naar een AWS-server (Amazon Web Server) werd gestuurd. Hij onderzocht wat voor soort info er naar de servers in de Verenigde Staten verdween.

Door de data te bekijken ontdekte hij dat er heel wat informatie van het device verzameld werd. Van een ‘event’ zoals het herstarten van het toestel op onverwachte momenten, is het vrij logisch dat dit gedeeld wordt. Met deze data kunnen de ontwikkelaars van OnePlus monitoren op grote fouten.

Maar de data laat ook zien dat OnePlus kijkt naar wanneer het scherm aan en uit gaat en wanneer een toestel wordt ontgrendeld. Daarnaast stuurt OnePlus ook de ID-informatie zoals het IMEI-nummer naar de servers. Dat laatste kan de gebruiker aan de informatie koppelen waardoor de informatie niet meer anoniem is.

Het wordt nog erger

OnePlus weet nu wanneer je je telefoon gebruikt en weet ook wie je bent. Maar het gaat nog verder want Moore ontdekte dat men ook kan zien welke applicaties er geopend worden op het toestel.

Bovenstaande afbeelding laat zien dat hij de applicaties Slack en Microsft Outlook heeft geopend. OnePlus weet nu wie je bent, wanneer je je telefoon gebruikt en ook welke apps je gebruikt. Daarnaast worden de tijdstippen waarop jij acties uitvoert ook bijgehouden. Deze informatie wordt via de OnePlus Device Manager naar de open.oneplus.net servers gestuurd.

OnePlus weet nu dus wanneer je je telefoon gebruikt, wat je er op doet, wanneer je dat doet en kan deze informatie tevens aan een identiteit hangen. 

Reactie OnePlus

De collega’s van AndroidAuthority hebben om een reactie gevraagd en deze ook gekregen van OnePlus. Het bedrijf ziet het probleem niet zo blijkt uit de reactie: 

“We securely transmit analytics in two different streams over HTTPS to an Amazon server. The first stream is usage analytics, which we collect in order for us to more precisely fine tune our software according to user behavior. This transmission of usage activity can be turned off by navigating to ‘Settings’ -> ‘Advanced’ -> ‘Join user experience program’. The second stream is device information, which we collect to provide better after-sales support.”

OnePlus bevestigt dat ze informatie van de gebruiker op twee manieren verzamelen. De eerste ‘stream’ bestaat uit gebruikersstatistieken die men gebruikt om de eigen software te optimaliseren. Deze stroom aan informatie kun je uitzetten onder ‘Settings > Advanced > Join user experience program’.  Deze staat dus standaard aan zonder permissie van de gebruiker.

De tweede stroom aan informatie wordt door OnePlus gebruikt om betere support te kunnen verlenen aan de gebruikers. Iets waar ze juist heel veel kritiek op gehad hebben.

Wat vinden wij hiervan?

Wij vinden dit niet goed. Het is logisch en noodzakelijk dat een merk informatie wil verzamelen over het gebruik van zijn toestellen. Dit is namelijk de enige manier om te leren en te verbeteren, maar daar moet je altijd toestemming voor vragen. Dat doet OnePlus niet gezien het feit dat de schakelaar bij het gebruikersprogramma standaard aan staat.

Ze gaan echt in de fout door ook de identiteit van een toestel en dus de gebruiker mee te sturen en daarnaast ook welke applicaties hij of zij gebruikt en wanneer. Dit is natuurlijk goud voor een ontwikkelaar maar ook een groot cybersecurity-risico.

Kan ik het uitzetten?

Ja, dat is dus mogelijk. De eerste verzamelmethode van OnePlus kun je uitzetten in de instellingen zoals we hierboven hebben beschreven. De rest zal via een ingewikkelde procedure moeten worden uitgezet, zoals hier beschreven.

Bron: Chris Moore

Lees meer over

Op de hoogte blijven?

Volg Androidworld nu ook op WhatsApp

Download de nieuwe Androidworld-app!

Reacties

10

Inloggen of registreren
om een reactie achter te laten

11 oktober 2017, 21:04

Interesseert me niks, ben toch niet interessant

11 oktober 2017, 18:19

Bestaan er eigenlijk nog smartphones die NIET in China gemaakt zijn ?
Iemand ?

11 oktober 2017, 14:49
11 oktober 2017, 14:10

Ik draai geen open beta maar zit nog steeds (of alweer terug ?) op MM dat zal het wel zijn…..

11 oktober 2017, 14:09

Tja, de prijs die Chinezen voor hun toestel vragen zijn laag voor een reden natuurlijk. Iedereen is maar bezig met de NSA. Maar onderschat de Chinezen niet.

11 oktober 2017, 13:49

Ook al zet je de service uit, dan wordt er alsnog belangrijke informatie verzonden, zonder jouw toestemming
Dit is nou precies waarom ik geen vertrouwen heb in GSM fabrikanten in China want dit soort schendingen komt zeer regelmatig voor en is daar blijkbaar normaal. Ook al zien diverse toestellen van Chinese komaf er prima uit, ik vertrouw ze gewoon niet en dat blijk regelmatig helaas terecht. Hier kan Oneplus niet onder uit, terwijl andere fabrikanten uit China weer beweren dat geconstateerde spyware op een toestel er per ongeluk op terecht is gekomen. Kortom, ze doen maar wat.

11 oktober 2017, 13:44

Die OnePlus system service had ik al lang geleden uitgeschakeld met Titanium en disable service.
Die Settings – Advanced – Join User experience …. heb geen idee waar je dat terug kunt vinden. Beetje wazige instructie ??!

11 oktober 2017, 13:42

Niet echt opmerkelijk. Oneplus wordt gerund vanuit de marketingdivisie.

11 oktober 2017, 13:35

Ik deel altijd mijn log gegevens mee naar de servers, van eender welk apparaat, zowel Android als Apple. Als dat hun helpt om software verbeteren, tja…

11 oktober 2017, 13:23

一堆中國人

Yī duī zhōngguó rén

(Wat een boefjes toch die Chinezen)