Un rapport vient de refaire surface, mettant en évidence les indiscrétions du logiciel de OnePlus. De nombreuses informations sont apparemment envoyées à la marque chinoise…

Article mis à jour à 14h30 afin de corriger une erreur sur les données transitant sur OnePlus 5.

En début d’année, un spécialiste en sécurité a découvert que son OnePlus 2 était très indiscret. Passée inaperçue lors de sa publication en juin, son analyse ressort quelques mois plus tard et fait davantage de bruit au vu des révélations qui en ressortent.

Des informations peu sécurisées

Dans le cadre d’un autre projet, Christopher Moore a examiné de près le trafic internet sortant de son smartphone et a été marqué par des paquets envoyés à l’adresse open.oneplus.net. Il a décidé de s’y intéresser pour savoir quelles informations étaient ainsi transférées.

Et premier problème : il y est arrivé très facilement puisque les informations ainsi envoyées ne sont chiffrées qu’en Base64, que de simples sites proposent de décoder en un clic. N’importe quel hacker interceptant ces paquets (ce qui peut se faire facilement si vous êtes sur un réseau WiFi public par exemple) peut donc en récupérer la totalité des informations facilement.

Un système très indiscret

En regardant de plus près le contenu des paquets envoyés, Chris Moore a découvert certains éléments évidents de débogage, comme des rapports de redémarrage anormal. Ils s’accompagnent cependant d’autres données plus étranges, comme l’heure précise de chaque allumage et extinction de l’écran.

Mais en fouillant un peu plus profondément, Chris s’est rendu compte qu’OxygenOS partage bien plus que cela. En examinant le code des fichiers transférés vers le serveur de OnePlus, il y a aperçu son IMEI, son adresse MAC ou encore son IMSI, des identifiants uniques du téléphone, mais aussi son numéro de téléphone, le SSID de son réseau WiFi.

Les applications espionnées

En allant encore plus loin dans l’examen, l’expert en sécurité a été effaré de voir que son téléphone partageait également l’heure précise d’ouverture et de fermeture de ses applications, et même parfois un rapport détaillé des activités au sein d’une application (lancement d’un onglet dans Chrome, activation du WiFi dans les paramètres, etc.).

Un grand nombre de données ?

L’analyse va plus loin encore puisque Christopher Moore a réussi à localiser le processus à l’origine de l’envoi de ces paquets : OnePlus System Service. Dans son cas, le processus a partagé 16 Mo de données en environ 10 heures, ce qui est énorme. La rédaction de FrAndroid comptant plusieurs utilisateurs de OnePlus 5, nous avons vérifié personnellement quelle quantité de data transite par l’application OnePlus Systeme Service. Si le résultat est légèrement moins élevé, il reste tout de même de près de 8 Mo en 210 heures, ce qui correspond à une quantité non négligeable d’informations.

Afin d’en savoir plus, nous avons demandé un éclaircissement sur ce point à OnePlus et attendons pour le moment une réponse officielle.

Que faire ?

Dans le doute, ceux qui aiment bidouiller peuvent toujours mettre les mains dans le cambouis pour préserver un peu plus leur vie privée. En rootant le téléphone, il est possible de désactiver un processus tandis que l’installation d’une ROM personnalisée mettra également un terme à ces transferts.