Alfonso Maruccia

OnePlus, montano le polemiche per la telemetria di OxygenOS

Il produttore cinese sarebbe impegnato in una vera e propria "raccolta", sistematica e non autorizzata, dei dati degli utenti. I ricercatori accusano, OnePlus si difende e pensa al debutto del suo nuovo modello di punta

OnePlus, montano le polemiche per la telemetria di OxygenOSRoma - In attesa del debutto di OnePlus 5T, nuovo modello di punta della linea di smartphone cinesi, OnePlus ha in queste settimane dovuto fare i conti con l'accusa di aver letteralmente "rubato" le informazioni degli utenti, operazione compiuta grazie a funzionalità e app nascoste di OxygenOS.

La modification di Android - adottata da OnePlus come alternativa alla variante "standard" del sistema operativo mobile di Google - ha il vizietto di spedire una gran quantità di informazioni ai server della corporation, avevano accusato i ricercatori solo un mese fa, un comportamento modificabile solo attraverso una serie di comandi da shell in modalità debug.

I dati inviati da OxygenOS includono numero di telefono del dispositivo, codice IMEI e IMSI, ID delle reti wireless, indirizzo MAC, status della batteria, app usate dall'utente e molto altro ancora. Si tratta insomma di un autentico "tesoro" di informazioni, che secondo la versione di OnePlus è parte integrante del "programma di esperienza utente" e la cui comunicazione può essere disabilitata dalle impostazioni avanzate.
Purtroppo per OnePlus, però, le novità emerse negli ultimi giorni confermano che su OxygenOS la telemetria è solo parte di un "problema privacy" grosso come una casa: i ricercatori hanno scovato un'app nascosta chiamata EngineerMode, un tool utilizzabile per eseguire test hardware approfonditi ma anche per controllare lo stato di un eventuale rooting del dispositivo, eseguire la diagnostica sulla funzionalità GPS e altro ancora.

Un malintenzionato con accesso fisico al terminale bersaglio potrebbe trasformare EngineerMode in una vera e propria backdoor, hanno accusato gli esperti, mentre da OnePlus è arrivata la conferma dell'esistenza dell'app, della sua utilità (uno strumento di benchmark utile in fase produttiva o di supporto cliente) e della decisione di rimuoverla in futuro per evitare di causare allarme tra gli utenti.

Tutto risolto, quindi? Neanche per sogno: il firmware di OxygenOS è pieno di app di diagnostiche tutte da scoprire, hanno rivelato i ricercatori, e dopo EngineerMode una seconda app segreta chiamata OnePlusLogKit è emersa alla luce con le sue funzionalità di log del traffico WiFi e Bluetooth, delle attività NFC, delle coordinate GPS registrate nel corso del tempo e altro ancora.

Non c'è alcuna giustificazione plausibile perché uno strumento così potente - e potenzialmente pericoloso - come OnePlusLogKit debba esistere su un terminale destinato all'utenza consumer, accusano i ricercatori, ed è a questo punto altamente probabile che lo "scandalo telemetria" di OnePlus e OxygenOS sia destinato a non esaurirsi tanto in fretta.

Alfonso Maruccia
Notizie collegate
  • TecnologiaOxygenOS, Android secondo OnePlusL'azienda cinese avvia la distribuzione della sua mod custom di Android, un firmware nato dalla necessità e che intende differenziarsi sia dalla versione standard dell'OS mobile che dalle altre mod esistenti
  • TecnologiaOnePlus 5 è qui, le polemiche pureOnePlus riprova a conquistare il mercato degli smartphone con il nuovo modello dalle elevate performance e dall'ottima qualità costruttiva. Ad accoglierlo, però, non mancano le prime critiche
40 Commenti alla Notizia OnePlus, montano le polemiche per la telemetria di OxygenOS
Ordina
  • Senti, i casi sono due:

    - o sei incaricato dai Potenti di occuparti di "Android e dintorni"
    - o ti hanno picchiato con un Samsung e non ti sei più ripresoA bocca aperta

    il 100% di questi articoli sono tuoi!A bocca aperta
    non+autenticato
  • udite un macaco che pensa ha ha ha ha ha ha ha ha ha ha Rotola dal ridere
    non+autenticato
  • Ma a questo punto non ci sono estremi sufficienti a sospendere OnePlus dal mercato?
    non+autenticato
  • Dovrebbero essere prima di tutto i clienti a mandarli a quel paese. Al solito però si va da poca o nessuna consapevolezza, al menefreghismo totale. Finché non gli svuotano il conto in banca o si beccano il ransomware o gli finiscono i selfie osé in piazza, gli puoi fare tutto quel che vuoi. Con tutte le porcate che vediamo ogni giorno, vedi gente in piazza, orde di indignati delle rete scagliarsi contro chi abusa di loro? Quasi tutti continuano ad usare la loro solita roba come se niente fosse. Così c'è chi fa il furbo e se ne approfitta sempre di più.
    non+autenticato
  • Purtroppo ho osservato le stesse cose.
    Temo che la gente si senta impotente da una parte, mentre dall'altra si sente obbligata ad acquistare sempre di più.
    E lo sappiamo, chi più, chi meno, in differenti modi, ma all fine tutti si cibano dei dati degli utenti.
    Alla fine non c'è scelta, grazie agli oligopoli che si sono formati nel mondo.
    non+autenticato
  • Fatti furbo va!!!
    Difatti uno è libero di prendere quello che vuole, io prendo OnePlus ad esempio e non capisco perché quando si scopre che "non-android" combina qualcosa tutti a difendereA bocca aperta .

    Poveracci va!
    non+autenticato
  • - Scritto da: 3ee53c811c5
    > Ma a questo punto non ci sono estremi sufficienti
    > a sospendere OnePlus dal
    > mercato?

    ha ha ha e se poi OnePlus se la 'cantasse' ci sarebbe da sospendere tutti gli altri poi, Rotola dal ridere Rotola dal ridere Rotola dal ridere ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha

    a Biagio sento roboare la pancia, ci sarà della diarrea a spruzzo questi giorni a venire, hi hi hi ha ha ha Rotola dal ridere
    non+autenticato
  • Ma col cazzo, è il mio device preferito!

    Buttati fuori tu no? Al SO che ci metto sopra ci penso io poi!
    non+autenticato
  • - Scritto da: Chicken
    > Ma col cazzo, è il mio device preferito!
    >
    > Buttati fuori tu no? Al SO che ci metto sopra ci
    > penso io
    > poi!

    Bravo , ora che hai scoperto di essere stato spiato fin'ora puoi cercarti il tuo OS. Rotola dal ridere
    non+autenticato
  • Tu hai un iPhone e parli a me di spiato?A bocca apertaA bocca apertaA bocca aperta

    Non hai ancora capito niente, pensare che puoi fare una prova anche tu a casa tua con wireshark e vedere cosa succede.
    non+autenticato
  • Mamma quante ne stanno pigliando...

    Android come windows 10 ormai, avete voluto il sistema open-source in mano alle masse dicendo per anni "Microsoft è il Diavolo!", e adesso vi beccate (ci becchiamo in realtà!), virus, malware, spyware, app bloccate da remoto, telemetria non desiderata ecc ecc
    Questo dovrebbe far riflettere, e parecchio anche.
    non+autenticato
  • Mah, io ho sempre detto: il *modello* "Microsoft", ovvero il modello del software proprietario, mutuato dall'industria meccanica del '900 è il diavolo. Da ben prima e con incommensurabilmente maggior impegno Stallman ha sempre detto analoga cosa.

    Semmai certe persone che oggi si sentono "confuse" dovrebbero domandarsi se han ben capito cosa sia il software proprietario e cosa sia quello libero. La tua risposta mi porta a credere che tu non l'abbia chiaro. Il software libero, quello sviluppato da una community (che include aziende, ma non è "a guida aziendale" o un'oligarchia) ha certe caratteristiche, altri modelli, volutamente con libertà parziali ne hanno altre.
    non+autenticato
  • - Scritto da: xte
    > Mah, io ho sempre detto: il *modello*
    > "Microsoft", ovvero il modello del software
    > proprietario, mutuato dall'industria meccanica
    > del '900 è il diavolo. Da ben prima e con
    > incommensurabilmente maggior impegno Stallman ha
    > sempre detto analoga
    > cosa.
    >
    > Semmai certe persone che oggi si sentono
    > "confuse" dovrebbero domandarsi se han ben capito
    > cosa sia il software proprietario e cosa sia
    > quello libero. La tua risposta mi porta a credere
    > che tu non l'abbia chiaro. Il software libero,
    > quello sviluppato da una community (che include
    > aziende, ma non è "a guida aziendale" o
    > un'oligarchia) ha certe caratteristiche, altri
    > modelli, volutamente con libertà parziali ne
    > hanno
    > altre.

    Ma il punto non del mio discorso non è contro il modello open-source, filosofia che abbraccio in toto tra l'altro, il punto è la convinzione che open-source (ed in particolare architettura GNU/Linux) fosse sicura di default, o almeno più di quella microsoft. Adesso stiamo assistendo a cosa succede ad un software open messo in mani alle aziende, a tante aziende dico, e dato in pasto alla massa: il risultato è uguale se non peggio di tutti gli scenari già visti con il software proprietario.
    Il problema vero è che per fissazione o autocelebrazione, si è sempre pubblicizzato l'open-source su alcuni punti falsi (più sicuro e gratutito), quando in realtà alla "gente" ma anche a chi ci lavora con l'informatica, si dovevano dire fin da principio le motivazioni corrette per le quali usare l'open e cioè condivisione di conoscenze che porta ad una maggiore libertà (niente lock-in ecc). Quello è l'investimento da fare sull'open-source, se adesso alla gente hai detto che è gratis ed è sicuro e viene fuori che lo pagano (non come licenze ma come danni o spese indirette) e sicuro non è più degli altri, allora ti perdi il grosso dei potenziali utilizzatori.
    non+autenticato
  • Più o meno, ma stai facendo un po' di confusione.
    1. Quella roba che ci ha messo su OnePlus non è open. Ed è pure nascosta.
    2. Solo poche cose sul Play Store sono open. Dove è possibile, anche lì preferirei usare alternative open, specialmente per cose più a rischio sicurezza. È più difficile che ci sia del malware in un programma open, controllato da un gruppo affidabile (es. Mozilla, quindi Firefox, piuttosto che PincoPalloChinaBrowser).
    3. Android non è così libero come GNU/Linux, ma (2b) anche con GNU/Linux non mi fiderei comunque di una distro fornita dal governo Nordcoreano, per esempio.
    4. Anche le PPA di Ubuntu (e cose simili di terze parti su altre distro) sono potenzialmente usabili per infilarti malware. Per cui non ti devi fidare di qualsiasi PPA a caso che trovi in giro (ma questo vale anche per binari scaricati da qualche sito). Certo, con PPA, se uno abusasse del servizio, verrebbe bandito, ma è lo stesso col PlayStore di Android e come si vede, non ferma i tentativi di malware. Poi se è open dovresti avere i sorgenti.

    Si possono aggiungere vari altri punti. Ma il succo è quello: non è che open e closed sia la stessa cosa, che tanto ti becchi malware uguale. L'open mi dà più fiducia. Se però la banda bassotti ti sforna una distro tu ti fidi? Prendi un SO open ma rimaneggiato da gente poco affidabile, o prendi un SO open e pulito, ma ci butti dentro di tutto, in particolare closed da chissà chi che fa chissà cosa, poi non ti lamentare.
    non+autenticato
  • - Scritto da: ping
    > Più o meno, ma stai facendo un po' di confusione.

    Nessuna confusione. Capisco benissimo che la parte malevola è closed, ma rimane il punto che il cavallo di Troia è android.
    Anche su windows la maggior parte dei casini sono stati fatti da software malevoli scritti da altri, ma windows si è fatta la nomea di prodotto "insicuro".
    Qua si tratta di difendere il lavoro della comunità. Prima di dire che è impossibile perché non si potrà mai impedire a nessuno di prendere del codice open e metterci qualche altra cosa closed e malevola sopra, io ricordo che la GPL ha avuto degli sviluppi e nuove versioni. Non sono un esperto di licenze open, non so se già esista qualcosa del genere sinceramente, ma il discorso a mio avviso dovrebbe diventare "tu ti prendi una cosa open per farne un business? allora quello che ci aggiungi tu in uscita dalla fabbrica deve essere open", in questo modo consenti alla gente di avere un android o un router o un dispositivo iot verificabile e aggiornabile anche da altri, ma puoi aggiungere software closed (ad esempio scaricando app).
    non+autenticato
  • - Scritto da: Batosta
    > - Scritto da: ping
    > > Più o meno, ma stai facendo un po' di
    > confusione.
    >
    > Nessuna confusione. Capisco benissimo che la
    > parte malevola è closed, ma rimane il punto che
    > il cavallo di Troia è android.
    >

    Ed è effettivamente problematico. Non ho idea di come si potrebbe derattizzare il Play Store senza imporre vincoli economici e burocratici analoghi a quelli imposti da Apple, vincoli che comportano tutta un'altra serie di problemi, tipo la possibilità di bannare senza appello un potenziale concorrente.
    Se poi il problema è alla radice, con strumenti imposti già dai produttori come nel caso di OnePlus, è anche peggio. Niente di diverso da quanto visto su Windows 10 con le sue spiate multiple, ma appunto, non va bene di qua e non va bene di là.
    Perché è peggio su uno smartphone che su un PC? Forse perché la maggior parte della gente non installa tonnellate di programmi sul PC, non sta a sbattersi a cercare in giro. Invece avere mille app a portata di mano può spingere a scaricarle per provarle. Altrimenti non saprei.

    > Anche su windows la maggior parte dei casini sono
    > stati fatti da software malevoli scritti da
    > altri, ma windows si è fatta la nomea di prodotto
    > "insicuro".

    Bè, per anni Windows è stato vulnerabile come nessun altro, senza bisogno di software di terze parti. Adesso la situazione è migliorata (IMO) ma proprio perché Microsoft ha iniziato a sentire le conseguenze delle pessime decisioni prese in passato.

    > Qua si tratta di difendere il lavoro della
    > comunità. Prima di dire che è impossibile perché
    > non si potrà mai impedire a nessuno di prendere
    > del codice open e metterci qualche altra cosa
    > closed e malevola sopra, io ricordo che la GPL ha
    > avuto degli sviluppi e nuove versioni. Non sono
    > un esperto di licenze open, non so se già esista
    > qualcosa del genere sinceramente, ma il discorso
    > a mio avviso dovrebbe diventare "tu ti prendi una
    > cosa open per farne un business? allora quello
    > che ci aggiungi tu in uscita dalla fabbrica deve
    > essere open", in questo modo consenti alla gente
    > di avere un android o un router o un dispositivo
    > iot verificabile e aggiornabile anche da altri,
    > ma puoi aggiungere software closed (ad esempio
    > scaricando app).

    Nemmeno io sono un esperto, ma generalmente è già così. Ci sono modi per aggirare questi vincoli della GPL v2, modi che hanno permesso a Tivo di blindare gli ageggi che produceva nonostante usassero software aperto, e infatti Stallman creò la GPL v3, che blocca in toto questa pratica (se ricordo bene).
    Attenzione però: ci sono componenti esenti da queste imposizioni, e se la community ha deciso in questo senso è per ottimi motivi. Ad esempio, puoi creare software chiuso utilizzando gcc e le relative librerie. Perché? Perché cacciare in toto il software chiuso da Linux terrebbe lontane le aziende che non solo producono prodotti apprezzati, che concorrono alla popolarità dei sistemi basati sul kernel pinguinico, ma partecipano proprio con risorse economiche e tecniche allo sviluppo. Vieta completamente il software closed e Linux sparisce dai radar, se non per una base di utenza appassionata ma numericamente poco rilevante.
    Izio01
    4674
  • > Non ho idea di come si potrebbe derattizzare
    > il Play Store senza imporre vincoli economici
    > e burocratici analoghi a quelli imposti da Apple
    Ho l'ardire di fornire la soluzione: un solo obbligo, 100% software libero sotto licenze come GPL, AGPL e poche altre. Questo in realtà non risolve del tutto perché non può agire anche sul resto dell'OS ma tanto taglia le gambe a tanti bipedi.

    > Perché è peggio su uno smartphone che su un PC?
    Io direi per l'ambiente: il PC per quanto pieno di fw è tutt'ora una soluzione abbastanza "open-platform" dove puoi facilmente installare quel che vuoi come utente e sviluppare una piattaforma abbastanza "generica" come sviluppatore/distro. Il mondo mobile al contrario è un MACELLO in termini di lock-in.

    > Vieta completamente il software closed
    > e Linux sparisce dai radar
    Non ne sono affatto convinto, per una semplice ragione: ad oggi non c'è più NESSUN OS closed generico sostenibile per uso/sviluppo al di fuori di ridotte nicchie embedded e di architetture proprietarie di nicchia. Quindi l'open oggi è una necessità per ogni azienda che necessiti di un OS per i suoi prodotti.
    non+autenticato
  • - Scritto da: xte
    > > Non ho idea di come si potrebbe derattizzare
    > > il Play Store senza imporre vincoli economici
    > > e burocratici analoghi a quelli imposti da
    > Apple
    > Ho l'ardire di fornire la soluzione: un solo
    > obbligo, 100% software libero sotto licenze come
    > GPL, AGPL e poche altre. Questo in realtà non
    > risolve del tutto perché non può agire anche sul
    > resto dell'OS ma tanto taglia le gambe a tanti
    > bipedi.
    >

    L'azienda per cui lavoro non usa GPL, e come lei tante altre. Per me è importante che sia permesso scegliere, quindi ben venga l'apertura e al diavolo Palladium (ambiente trusted che impedisce l'utilizzo di software - e potenzialmente dati - non approvati). Però no, se vuoi vietare il software chiuso, non mi trovi d'accordo.

    > > Vieta completamente il software closed
    > > e Linux sparisce dai radar
    > Non ne sono affatto convinto, per una semplice
    > ragione: ad oggi non c'è più NESSUN OS closed
    > generico sostenibile per uso/sviluppo al di fuori
    > di ridotte nicchie embedded e di architetture
    > proprietarie di nicchia. Quindi l'open oggi è una
    > necessità per ogni azienda che necessiti di un OS
    > per i suoi prodotti.

    Non è la mia esperienza. Nelle realtà con cui ho avuto a che fare, è piuttosto Gnu/Linux ad essere di nicchia. Chiaro che io non faccio statistica, ma permettimi di dubitare che sia effettivamente come dici tu.
    non+autenticato
  • > L'azienda per cui lavoro non usa GPL
    Se stai parlando di una software house è normale, il suo business model è vendere prodotti come l'industria meccanica del '900. Il modello FOSS non prevede questo, prevede si paghi lo sviluppatore, il sistemista, non un'azienda. È un business model diverso che il manager tipo (sia vendente che acquistante) non riesce a comprendere. Non prenderla come un'offesa, è semplicemente un dato di fatto: l'evoluzione tecnica è a macchia di leopardo e a velocità diverse da sempre.

    > Nelle realtà con cui ho avuto a che fare, è
    > piuttosto Gnu/Linux ad essere di nicchia
    Fammi indovinare: gestionale o accademia. Se vai in un datacenter GNU/Linux è il 90% circa, un po' di unix proprietari, per lo più Solaris e AiX, rari HP_UX e residuali altri, una fettina di FreeBSD, residuali altri *BSD e solo per chi fa hosting qualche rara macchina (virtuale) Windows. GNU/Linux è di nicchia sul desktop e nelle piccole realtà dove non c'è un IT interno né particolari competenze ma persino nei call-center il desktop GNU/Linux stà crescendo notevolmente.
    non+autenticato
  • > L'azienda per cui lavoro non usa GPL
    Se stai parlando di una software house è normale, il suo business model è vendere prodotti come l'industria meccanica del '900. Il modello FOSS non prevede questo, prevede si paghi lo sviluppatore, il sistemista, non un'azienda. È un business model diverso che il manager tipo (sia vendente che acquistante) non riesce a comprendere. Non prenderla come un'offesa, è semplicemente un dato di fatto: l'evoluzione tecnica è a macchia di leopardo e a velocità diverse da sempre.

    > Nelle realtà con cui ho avuto a che fare, è
    > piuttosto Gnu/Linux ad essere di nicchia
    Fammi indovinare: gestionale o accademia. Se vai in un datacenter GNU/Linux è il 90% circa, un po' di unix proprietari, per lo più Solaris e AiX, rari HP_UX e residuali altri, una fettina di FreeBSD, residuali altri *BSD e solo per chi fa hosting qualche rara macchina (virtuale) Windows. GNU/Linux è di nicchia sul desktop e nelle piccole realtà dove non c'è un IT interno né particolari competenze ma persino nei call-center il desktop GNU/Linux stà crescendo notevolmente.
    non+autenticato
  • - Scritto da: Batosta
    > - Scritto da: xte
    > > Mah, io ho sempre detto: il *modello*
    > > "Microsoft", ovvero il modello del software
    > > proprietario, mutuato dall'industria
    > meccanica
    > > del '900 è il diavolo. Da ben prima e con
    > > incommensurabilmente maggior impegno
    > Stallman
    > ha
    > > sempre detto analoga
    > > cosa.
    > >
    > > Semmai certe persone che oggi si sentono
    > > "confuse" dovrebbero domandarsi se han ben
    > capito
    > > cosa sia il software proprietario e cosa sia
    > > quello libero. La tua risposta mi porta a
    > credere
    > > che tu non l'abbia chiaro. Il software
    > libero,
    > > quello sviluppato da una community (che
    > include
    > > aziende, ma non è "a guida aziendale" o
    > > un'oligarchia) ha certe caratteristiche,
    > altri
    > > modelli, volutamente con libertà parziali ne
    > > hanno
    > > altre.
    >
    > Ma il punto non del mio discorso non è contro il
    > modello open-source, filosofia che abbraccio in
    > toto tra l'altro, il punto è la convinzione che
    > open-source (ed in particolare architettura
    > GNU/Linux) fosse sicura di default, o almeno più
    > di quella microsoft. Adesso stiamo assistendo a
    > cosa succede ad un software open messo in mani
    > alle aziende, a tante aziende dico, e dato in
    > pasto alla massa: il risultato è uguale se non
    > peggio di tutti gli scenari già visti con il
    > software
    > proprietario.
    > Il problema vero è che per fissazione o
    > autocelebrazione, si è sempre pubblicizzato
    > l'open-source su alcuni punti falsi (più sicuro e
    > gratutito), quando in realtà alla "gente" ma
    > anche a chi ci lavora con l'informatica, si
    > dovevano dire fin da principio le motivazioni
    > corrette per le quali usare l'open e cioè
    > condivisione di conoscenze che porta ad una
    > maggiore libertà (niente lock-in ecc). Quello è
    > l'investimento da fare sull'open-source, se
    > adesso alla gente hai detto che è gratis ed è
    > sicuro e viene fuori che lo pagano (non come
    > licenze ma come danni o spese indirette) e sicuro
    > non è più degli altri, allora ti perdi il grosso
    > dei potenziali
    > utilizzatori.

    ha ha ha ti senti abbastanza confuso Rotola dal ridere

    se poi confondi le due cose (open-closed)lo sei ancora di più Rotola dal ridere

    ha ha ha
    non+autenticato
  • "modello di punta della linea di smartphone cinesi".

    Questa frase cristallizza la definizione esatta di iphone.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)