In attesa del debutto di OnePlus 5T , nuovo modello di punta della linea di smartphone cinesi, OnePlus ha in queste settimane dovuto fare i conti con l’accusa di aver letteralmente “rubato” le informazioni degli utenti, operazione compiuta grazie a funzionalità e app nascoste di OxygenOS .
La modification di Android – adottata da OnePlus come alternativa alla variante “standard” del sistema operativo mobile di Google – ha il vizietto di spedire una gran quantità di informazioni ai server della corporation , avevano accusato i ricercatori solo un mese fa, un comportamento modificabile solo attraverso una serie di comandi da shell in modalità debug.
I dati inviati da OxygenOS includono numero di telefono del dispositivo, codice IMEI e IMSI, ID delle reti wireless, indirizzo MAC, status della batteria, app usate dall’utente e molto altro ancora. Si tratta insomma di un autentico “tesoro” di informazioni, che secondo la versione di OnePlus è parte integrante del “programma di esperienza utente” e la cui comunicazione può essere disabilitata dalle impostazioni avanzate.
Purtroppo per OnePlus, però, le novità emerse negli ultimi giorni confermano che su OxygenOS la telemetria è solo parte di un “problema privacy” grosso come una casa: i ricercatori hanno scovato un’ app nascosta chiamata EngineerMode , un tool utilizzabile per eseguire test hardware approfonditi ma anche per controllare lo stato di un eventuale rooting del dispositivo, eseguire la diagnostica sulla funzionalità GPS e altro ancora.
Un malintenzionato con accesso fisico al terminale bersaglio potrebbe trasformare EngineerMode in una vera e propria backdoor, hanno accusato gli esperti, mentre da OnePlus è arrivata la conferma dell’esistenza dell’app, della sua utilità (uno strumento di benchmark utile in fase produttiva o di supporto cliente) e della decisione di rimuoverla in futuro per evitare di causare allarme tra gli utenti.
Tutto risolto, quindi? Neanche per sogno: il firmware di OxygenOS è pieno di app di diagnostiche tutte da scoprire , hanno rivelato i ricercatori, e dopo EngineerMode una seconda app segreta chiamata OnePlusLogKit è emersa alla luce con le sue funzionalità di log del traffico WiFi e Bluetooth, delle attività NFC, delle coordinate GPS registrate nel corso del tempo e altro ancora.
Non c’è alcuna giustificazione plausibile perché uno strumento così potente – e potenzialmente pericoloso – come OnePlusLogKit debba esistere su un terminale destinato all’utenza consumer, accusano i ricercatori, ed è a questo punto altamente probabile che lo “scandalo telemetria” di OnePlus e OxygenOS sia destinato a non esaurirsi tanto in fretta.
Alfonso Maruccia