Eso es lo que afirma Chris Moore, propietario de un blog de seguridad y tecnología ubicado en el Reino Unido según el cual OnePlus está recopilando datos tan concretos de los usuarios como el IMEI de sus teléfonos, la dirección MAC, el numero de teléfono y otros sin el consentimiento expreso de éstos.
No es el primer escándalo al que se enfrenta la compañía OnePlus sin embargo en esta ocasión, y ante la enorme gravedad del asunto, se hace impredecible que aporte unas convincentes explicaciones.
Mejorar la experiencia del usuario violando su privacidad, esa parece ser la política de OnePlus
Con anterioridad, OnePlus ha tenido que hacer frente a numerosas crisis durante el último par de años, especialmente en relación a su incapacidad para proporcionar soporte adecuado a sus clientes. Además, tras el lanzamiento de OnePlus 5 surgieron informes que hablaban de manipulación de los benchmarks, pantallas mal montadas e incluso usuarios que no pueden llamar al servicio de emergencias cuando lo necesitan. Pues bien, ahora le llega una crisis aún más grave que las anteriores y ante la que los usuarios deben exigir una explicación convincente y urgente.
Chris Moore, propietario de un blog de seguridad y tecnología en el Reino Unido, ha publicado un artículo que vendría a demostrar que OnePlus ha estado recopilando información personal de los usuarios y transmitiéndola sin su permiso.
¿Qué tipo de datos está recopilando OnePlus sin permiso de los usuarios?
El descubrimiento se produjo en el evento SANS Holiday Hack Challenge donde Moore detectó un dominio desconocido, y decidió examinarlo con mayor detenimiento. Lo que hacia ese dominio – open.oneplus.net – básicamente era recopilar datos de usuario de su dispositivo y transmitirlos a una instancia de Amazon AWS, todo sin su permiso.
Entre los datos a los que OnePlus está accediendo van desde información del propio dispositivo como el código IMEI, el número de serie, el número de teléfono, la dirección MAC, el nombre de red móvil, el prefijo IMSI y ESSID y BSSID de red inalámbrica, a datos de usuario como reinicios, cargas, marcas, usos de aplicaciones y más.
¿Hay remedio al problema?
De acuerdo con Moore, el código responsable de esta recopilación de datos forma parte de OnePlus Device Manager y OnePlus Device Manager Provider. Afortunadamente, Jakub Czekanski afirma que a pesar de ser un servicio del sistema, éstos pueden ser permanentemente inhabilitados mediante la sustitución de net.oneplus.odm para pkg a través de ADB o mediante el uso de este comando: pm uninstall -k -user 0 pkg.
¿Y OnePlus qué opina de esta polémica?
Pues básicamente, poco más podemos decir más allá de que «le resbala». Evidentemente, OnePlus es uno de los más importantes fabricantes de teléfonos móviles con Android, cuenta con una importante base de usuarios, y el hecho de que haya estado recopilando y transmitiendo datos de usuarios sin su permiso, grave por la propia naturaleza del acto, lo es aún más en relación al volumen de personas afectadas. Pero aún más preocupante que OnePlus no parece considerarlo un gran problema. Consultada por Android Authority al respecto del descubrimiento de Chris Moore, la compañía se ha limitado a manifestar que los datos recopilados tienen la misión de servir de soporte a los propios usuarios, sin responder en modo alguno a cuestiones relativas acerca de la privacidad de los que son sus clientes.
Transmitimos de forma segura los análisis en dos flujos diferentes a través de HTTPS a un servidor de Amazon. El primer flujo es el análisis del uso, que recopilamos para que podamos ajustar más precisamente nuestro software de acuerdo con el comportamiento del usuario. Esta transmisión de actividad de uso se puede desactivar navegando a ‘Ajustes’ -> ‘Avanzado’ -> ‘Únete al programa de experiencia del usuario’. El segundo flujo es la información del dispositivo, que recopilamos para proporcionar un mejor servicio post-venta.
Brian Reigh, de Android Authority, señala que además se han puesto en contacto y han hablado con un representante de OnePlus sin embargo, «no recibimos una explicación satisfactoria de por qué la empresa simplemente no permite a los usuarios optar a compartir sus datos para ayudar con las futuras actualizaciones». Y continúa: «la ironía aquí es que OnePlus está violando la privacidad de sus usuarios para proporcionar un mejor servicio post-venta. De todos los fabricantes, la empresa que logró enojar y frustrar a tantos usuarios, precisamente debido a su falta de apoyo postventa, está tratando de justificar su recolección de datos no autorizados sobre la base de que es para el apoyo post-venta.»