Esta mañana amanecíamos con polémica, mutante: parece que OnePlus ha estado recopilando datos de sus usuarios sin su conocimiento ni su permiso. Not cool, OnePlus. Not cool.
Cómo OnePlus registra tus datos
El responsable de levantar la perdiz ha sido Chris Moore, un joven ingeniero de software y experto en seguridad informática británico. En su propio blog, el bueno de Chris (que se ha ganado una pinta colectiva de parte de todo Internet) relata cómo durante una competición de hacking descubrió un tráfico anómalo en su OnePlus 2 hacia un dominio que no le sonaba: open.oneplus.net. Tirando un poco del hilo, descubrió que este dominio pertenecía a Amazon Web Service, y que lo que estaba enviando eran registros de eventos concretos con marcas de tiempo. Es decir, OnePlus estaba recolectando información sobre cuándo se realizaban determinadas acciones en el teléfono, como por ejemplo apagar la pantalla o activar una app.
Queriendo darles un poco de cancha, Chris pensó “bueno, querer saber cuándo mi terminal tiene un reinicio anómalo tiene un pase, aunque lo de saber cuándo apago la pantalla es un poco creepy. Al menos los datos serán anónimos, ¿no?” Pues no. Chris descubrió que el registro de eventos estaba vinculado al número de serie de su OnePlus 2, lo que significaba que OnePlus podía asociar tal actividad a su persona (ya que había comprado el terminal directamente a OnePlus, no a través de un intermediario).
Esto molaba aún menos, pero cuando se metió de lleno en el asunto, este joven informático dio con algo que realmente le sorprendió. Su OnePlus 2 estaba informando acerca de su IMEI, sus números de teléfono almacenados, cuándo y cómo usaba las apps instaladas (y por supuesto qué apps tenía instaladas), dirección MAC, redes móviles, código IMSI, y los ESSID y BSSID de sus redes inalámbricas (entre otros datos).
What. The. Fuck.
OnePlus tira balones fuera
Al descubrir el pastel, Moore recurrió a Twitter para preguntar a OnePlus qué estaba ocurriendo y cómo podía evitarlo.
Yes please: how do I turn off this event data collection (which gets sent to https://t.co/42nroll7PD)?
— Christopher Moore (@chrisdcmoore) 13 de enero de 2017
El SAT online de OnePlus respondió con pasos que se demostraron inútiles antes de entrar en modo silencio sobre el tema, solo interrumpido por el siguiente anuncio oficial:
We securely transmit analytics in two different streams over HTTPS to an Amazon server. The first stream is usage analytics, which we collect in order for us to more precisely fine tune our software according to user behavior. This transmission of usage activity can be turned off by navigating to ‘Settings’ -> ‘Advanced’ -> ‘Join user experience program’. The second stream is device information, which we collect to provide better after-sales support.
Para los no versados en la lengua de Shakespeare y Roger Daltrey:
Transmitimos analíticas de forma segura en dos canales diferentes mediante HTTPS a un servidor de Amazon. El primer canal contiene analíticas de uso, que recolectamos para ajustar nuestro software de forma acorde a las conductas del usuario. Esta transmisión de actividad de uso puede ser anulada en “Ajustes -> Avanzado -> Unirse al programa de experiencia de usuario”. El segundo canal contiene información del dispositivo, que recolectamos para ofrecer un mejor servicio post-venta.
Es decir, que a OnePlus no le parece una invasión de la privacidad recolectar información sobre cuándo apagas tu pantalla, cuándo cargas tu dispositivo, o a qué redes te conectas. Esto puede ser considerado un problema y, a la luz de la indolencia de la compañía, otros usuarios salieron en ayuda del bueno de Chris.
Cómo impedir que OnePlus se haga con tus datos sin tu permiso
La palma a coleguita del día se la ha llevado el usuario Jakub Czekański, quien ha aportado este comando capaz de anular permanentemente esta transmisión no deseada de datos desde cualquier dispositivo OnePlus:
pm uninstall -k –user 0 pkg
@chrisdcmoore I’ve read your article about OnePlus Analytics. Actually, you can disable it permanently: pm uninstall -k –user 0 pkg
— Jakub Czekański (@JaCzekanski) 10 de octubre de 2017
Recuerda que para introducir esta línea de código has de acceder al modo debug de tu terminal, algo que puedes conseguir a través de USB o mediante wifi, y usar Android Debug Bridge en él. Tienes el tutorial para conseguir esto aquí mismo.
Con esta pequeña línea de código puedes anular la transferencia de datos, algo que espero que te sea útil y te ayude a estar más tranquilo si eres usuario de OnePlus y no te hace gracia eso de que cotilleen en el uso de tu terminal, mutante. No obstante, queda aún por ver si OnePlus se pronuncia más profundamente sobre el tema o si deja correr el asunto hasta que la cosa se olvide.