UPPDATERING: Denna berättelse uppdaterades den oktober. 16, efter ett meddelande från OnePlus om att omforma sin datainsamling till ett opt-in-format.

OnePlus-enheter är i stort sett vackra saker. Det Shenzen-baserade företaget tillverkar smartphones som hugger extremt nära en lager Android-byggnad, men utan de orimliga prislappar från deras Google Nexus eller Pixel motsvarigheter.

Det finns bara ett problem: OnePlus-telefoner kan kränka din integritet genom att skicka avslöjande data tillbaka till kinesiska servrar, och även om det finns en fix kan det vara skrämmande för användare som inte är tekniskt skicklig.

Kredit: OnePlus
(Bildkredit: OnePlus)

Denna information kommer från Chris Moore, ingenjör för Redgate, en Cambridge-baserad mjukvaruutvecklare. Moore testade sin OnePlus 2-telefon för icke-relaterad säkerhetsundersökning när han hittade något intressant: Hans telefon ledde tillbaka trafiken till en domän som heter "open.oneplus.net."

Lite extra grävning avslöjade att servern var en av OnePlus egna. (Medan Moore testade detta på en OnePlus 2-telefon har andra användare replikerat det på en OnePlus 3; det påverkar sannolikt en mängd olika telefoner från tillverkaren som kör företagets OxygenOS-gaffel med Android.)

MER: Bästa antivirusprogram och appar

Hur man stoppar OnePlus-datainsamlingen

Om du vill ha ett säkert sätt att förhindra att din OnePlus-telefon delar vanlig textinformation med moderbolaget gör du det måste göra lite Android-programmering av benarbete - men du behöver inte rota din telefon, som Moore ursprungligen trodde dig makt.

Forumet Hacker Nyheter förklarar hur man gör det i detalj. Först måste du aktivera USB-felsökning i telefonens inställningar (det finns under utvecklaralternativ). Anslut sedan din telefon till din dator via USB och installera Android Debug Bridge programvara.

Om det är första gången du använder ADB kommer det att finnas ett försök och fel när du ser till att allt är konfigureras korrekt, men om du följer instruktionerna på ADB-webbplatsen, borde du vara bra gå. Kopiera sedan, klistra in och kör följande kommandon från Hacker News-forumet, som avinstallerar OnePlus-spårarna manuellt:

$ adb startserver
$ adb skal
> pm avinstallera -k --user 0 net.oneplus.odm

Massor av information

Moore fann att OnePlus-servern regelbundet skulle samla in data om sin telefon, inklusive IMEI och IMSI (handenheten och SIM-kortet unika respektive telefonnummer, MAC-adresser (unika identifierare för nätverksportar), mobilnätverksnamn och trådlöst nätverk namn. Dessa är alla potentiella säkerhets- och integritetsrisker, men de är också den typ av sak som telefontillverkare regelbundet samlar in om de behöver fjärrfelsöka problem med en telefon.

Men det blir ännu mer oroväckande. Fjärran OnePlus-servern samlade också information om när Moore öppnade och stängde Android-appar, låste eller låste upp sin telefon och till och med slog på eller av skärmen.

För att vara rättvis så finns det ingen risk för slutanvändaren så länge denna information förblir hos OnePlus. Det som är oroande är dock att Moore upptäckte att uppgifterna inte var anonymiserade alls. En skadlig skådespelare som fick sin hand på data kunde lätt se allt om en användares smartphone användning (förutsatt att OnePlus inte implementerar ytterligare säkerhetsprotokoll när det samlar in data, det är).

Moore kunde inte hitta ett sätt att hindra telefonen från att samla in information, men en polsk programmerare som heter Jakub Czekański kom i kontakt med honom på Twitter och föreslog ovanstående lösning.

OnePlus erbjuder ytterligare en lösning

Vi kontaktade OnePlus för att se om företaget var medveten om problemet. En representant försäkrade oss om att den överförda informationen faktiskt var säker och flyttade i två strömmar till en HTTPS-aktiverad Amazon-server.

Den första strömmen, sade representanten, innehöll analyser - kanske informationen om appanvändning Moore påpekade. OnePlus rekommenderade att inaktivera denna ström, om så önskas, genom att gå till Inställningar -> Avancerat och slå av alternativet "Gå med i användarupplevelseprogrammet".

Den andra strömmen, tillade OnePlus-repen, var bara enhetsinformation, som inte delades med externa parter.

Jag kunde inte verifiera själv om OnePlus-rekommendationen faktiskt stoppade överföringen av användardata, men det finns ingen indikation på att det OnePlus sa är osant. Avinstallation av telemetri via ADB verkar fortfarande som det mer absoluta alternativet.

Bubblar under ett år

Intressant är att Moore inte är den första personen som hittade denna OnePlus-överföring. Tillbaka i juli 2016 ringde en programutvecklare Tux påpekade samma sak på Twitter och publicerade till och med en fullständig post av sina resultat till Pastebin. Följande månad, en annan utvecklare som bidrog till Android-utvecklarens blogg XDA-Developers krönikerade samma fråga.

Varför berättelsen aldrig tog fart förrän nu är det någon som gissar, men om detta är så mycket av en integritets- och säkerhetsrisk som det verkar, har OnePlus låtit det avadresseras under lång tid.

Mer information kommer troligen att komma ut under de närmaste dagarna, eftersom säkerhetsforskare försöker fixa OnePlus för sig själva och se hur det påverkar dataöverföringen. Under tiden kanske du vill köra ADB-skriptet. OnePlus kommer nästan säkert inte att göra något illaluktande med dina data, men som vi har sett tidigare, ingen tillverkares säkerhet är järnklädd.

UPPDATERING: OnePlus lovar en lösning

I ett inlägg till OnePlus-forum på fredagen okt. 13 lovade företagets grundare Carl Pei ändringar i hur dess enheter samlar in data och erbjöd en lösning. Efter att ha sagt att OxygenOS-enheter samlar in två typer av data (användningsanalys och enhetsinformation), upprepade Pei rådet som en OnePlus-rep ursprungligen berättade för oss: att användare kan sluta skicka användningsdata genom att öppna appen Inställningar, knacka på Avancerat, knacka på Gå med i användarupplevelseprogrammet och ändra inställningen där.

Pei lovade att företaget aldrig har delat användardata med "externa parter" och att det bara använder dessa uppgifter för att förbättra kundupplevelsen. Han uppgav också att "i slutet av oktober kommer alla OnePlus-telefoner som kör OxygenOS att få en uppmaning i installationsguiden som frågar användarna om de vill gå med i vårt användarupplevelseprogram, "vilket tyder på att användarna måste välja program.

Slutligen noterade han att OxygenOS-enheterna "inte längre kommer att samla in telefonnummer, MAC-adresser och WiFi-information." Medgrundaren följde detta uttalande av förklara att OnePlus tar integritet på allvar, även om det lovade att ta bort den redan samlade personliga informationen skulle ha hjälpt vissa att tro att företaget verkligen värdesätter Integritet.

Bästa betalda alternativet

Bitdefender Mobile Security

Du måste betala $ 15 per år för Bitdefender Mobile Security, men dess utmärkta skydd mot skadlig programvara och det intuitiva användargränssnittet gör det väl värt att betala för.

Bästa Freemium-alternativet

Norton Mobile Security

Norton Mobile Security kan tyckas dyrt, men dess utmärkta skydd, licens för flera enheter och unika sekretessfunktioner gör det till en lönsam investering.

Avast Mobile Security

Avast Mobile Security har solid malware-skydd, men några av dess många funktioner fungerar inte bra.

  • 15 Android-säkerhetstips
  • Du behöver antivirusprogram
  • Bästa lösenordshanterare