OnePlus spioniert Nutzer aus

Der Smartphone Hersteller OnePlus sammelt ohne Zustimmung der Nutzer umfangreiche Daten. Die gesammelten Nutzerdaten werden an einen bei AWS gehosteten Server geschickt. Die Datensammlung ist besonders schwerwiegend, weil OnePlus als Direktvermarkter die Möglichkeit hat die jeweiligen Daten aufgrund der mitübertragenen Seriennummer einzelnen Kunden zuzuordnen.

Der Softwareentwickler Christopher Moore entdeckte dieses Verhalten zufällig, während seiner Teilnahme an einem Hackerwettbewerb. Als er den Internet-Traffic seines OnePlus 2 durch ein Analyse-Tool routete, bemerkte er vermehrt Traffic zur Domain open.oneplus.net auf. Moore entschied sich dazu den Traffic genauer zu untersuchen, weil er ihm zuvor noch nicht aufgefallen war. Ein DNS-Lookup zeigte eine Instanz von Amazon Web Services (AWS) in den USA. Außerdem fiel ihm Apache Hadoop auf, das verwendet wird um sehr große Datenmengen verteilt zu verarbeiten.

Laut Moore werden detaillierte Informationen an OnePlus übertragen, darunter die IMEI des Telefons, die Telefonnummer des Nutzers, die MAC-Adresse, der IMSI-Präfix, der Netzbetreiber und die WLAN-Bezeichnung. OnePlus wird über jeden Neustart, jeden Ladevorgang und über die persönliche App-Nutzung der Nutzer informiert. Dies umfasst auch Apps von Drittanbietern. Die übertragenen Daten enthielten zum Beispiel Informationen darüber, wie lange der Softwareentwickler auf seinem Smartphone Slack und Outlook genutzt hat. Die Aktivitäten in den jeweiligen Apps wurden inklusive Datum und Uhrzeit übertragen.

Moore der für Redgate Software als Entwickler tätig ist bemerkte, dass der OnePlus Device Manager und der OnePlus Device Manager Provider den Code zum Datensammeln beinhalten. Von seinem Smartphone wurden in zehn Stunden etwa 16 MByte an OnePlus übertragen. Auf seine Nachfrage per Twitter erhielt er lediglich ausweichende Antworten und auch die OnePlus-Foren gaben keinen Hinweis darauf, wie das Datensammeln abzustellen sei.

Aufgrund der großen Aufmerksamkeit hat der chinesische Konzern inzwischen eine Stellungnahme abgegeben. Er spricht von einer sicheren Übertragung von Analysedaten, die über zwei HTTPS Streams an den bei AWS gehosteten Server abläuft. Der erste Stream dient der Nutzungsanalyse, die dazu dienen soll die Software auf individuelle Nutzungsverhalten zu optimieren. In den Systemeinstellungen unter ->Erweitert ->Nehmen Sie an unserem Kundenzufriedenheitsprogramm teil können OnePlus Nutzer diese Funktion deaktivieren.

OnePlus Geräteinformationen die nach dem Verkauf einen besseren Support gewährleisten sollen, werden im zweiten Stream übertragen. Android Authority kommentierte: „Die Ironie ist, dass OnePlus die Privatsphäre seiner Nutzer verletzt, um besseren Support zu bieten. Von allen Herstellern versucht ausgerechnet das Unternehmen, das so viele Nutzer mit seinem fehlenden After-Sales-Support frustriert und verärgert hat, sein unerlaubtes Datensammeln damit zu rechtfertigen, dass es dem Support dient.“

Spionage-Funktion vollständig entfernen

OnePlus gab in seiner Stellungnahme nicht an, ob es eine Möglichkeit besteht das Datensammeln vollständig zu entfernen. Erfahrenen Anwender können laut Twitter-Nutzer Jakub Czekański die Funktion jedoch selber deaktivieren. Dazu muss der Dienst „net.oneplus.odm.provider“ gestoppt werden.

Es muss dazu die Android Degbug Bridge (ADB) auf dem Computer und USB-Debugmodus auf dem Smartphone aktiviert werden. Um das Smartphone vom PC aus anzusprechen, muss außerdem der ADB-USB-Treiber auf dem Smartphone installiert werden.

Ein Test zeigte, dass die Standard-Google-Treiber bei einem OnePlus 5 funktionieren. Den Debugmodus schaltet man in den Einstellungen unter – Entwickleroptionen – USB-Debugging ein. Standardmäßig ist der Eintrag zum Schutz für unerfahrene Benutzer verborgen. Durch siebenmaliges schnelles Tippen auf Build-Nummer unter Einstellungen – Über das Telefon aktivieren lässt er sich aktivieren. Der Root-Zugang ist für das Aktivieren nicht notwendig.

Mit dem freien Kommandzeilen-Tool adb kann der Spionage-Code dann gelöscht werden. Der Befehl „adb devices“ zeigt an, ob das Smartphone korrekt verbunden ist. Bei der ersten Verbindung muss die Kommunikation auf dem Smartphone erst autorisiert werden. Sobald das Gerät nach dem Befehl „adb devices“ korrekt aufgelistet wird, kann man mit dem Befehl:

adb shell pm uninstall -k --user "0" net.oneplus.odm.provider

die unerwünschte Komponente entfernen.

Ein zweites Absenden desselben Befehls zeigt, dass die Komponente gelöscht wurde.