De acordo com uma denúncia de um usuário do Twitter conhecido na rede social como “Elliot Alderson”, a OnePlus poderia supostamente estar coletando dados sobre os usuários de seus smartphones por meio do sistema de copiar e colar texto (área de transferência) do Oxygen OS, a versão personalizada do Android distribuída pela marca chinesa.
O hacker afirma ter encontrado um segmento de código suspeito no app que gerencia a área de transferência com um arquivo chamado “Badword.txt”. Ele traduziu as informações contidas no item e conseguiu encontrar palavras como “conselheiro”, “vice-presidente”, “diretor”, “professor associado”, “geral”, “mensagem privada”, “entrega”, “endereço”, “email”, entre outras.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
The @OnePlus #clipboard app contains a strange file called badword.txt ??
— Elliot Alderson (@fs0c131y) 25 de janeiro de 2018
In these words, we can find: Chairman, Vice President, Deputy Director, Associate Professor, Deputy Heads, General, Private Message, shipping, Address, email, ...https://t.co/ePQvD1citn pic.twitter.com/3dCh0joVkH
Em seu site, a TeddyMobile se orgulha de identificar dados em SMS com 100% de precisão e de já ter feito isso com mais de 20 milhões de mensagens
Além disso, o arquivo estaria duplicado e comprimido em uma pasta com alguns outros elementos similares. Esse pacote seria parte de uma biblioteca de código desenvolvido pela “TeddyMobile”, uma empresa chinesa especializada em reconhecer informações importantes em mensagens de texto. Em seu site, a empresa se orgulha de ser capaz de identificar dados em SMS com 100% de precisão e de já ter feito isso com mais de 20 milhões de mensagens. A TeddyMobile é parceira não apenas da OnePlus, mas também de várias outras fabricantes chinesas, tais como Lenovo, Xiaomi, Vivo e muitas outras.
Outro segmento de código encontrado no gerenciador de área de transferência indicaria que a OnePlus estaria enviando o número IMEI dos smartphones de seus usuários para a TeddyMobile e também uma série de outros dados sensíveis que poderiam identificar ou ajudar a “espionar” alguém.
In the TeddyMobile's package com.ted, they have a class called SysInfoUtil. This class contains the following methods:
— Elliot Alderson (@fs0c131y) 25 de janeiro de 2018
- getAndroidID
- getCPUSerial
- getDeviceId
- getHardwareSerialNumber
- getIMEI
- getIPAddress
- getMacAddress
- getPhoneNumbe
- getScreenPixels pic.twitter.com/9A8UhsOXae
Esse segmento seria um pacote chamado “com.ted” que faz uma verificação em vários detalhes do celular. Além do IMEI, ele supostamente coletaria as seguintes informações: ID do Android, número de série da CPU, ID do dispositivo, número de série do hardware, endereço IP, endereço MAC, número de telefone e contagem de pixels da tela.
Há ainda uma forma de o software da TeddyMobile coletar dados bancários do usuário
Não é possível imaginar o que seriam exatamente alguns desses dados, muito menos o porquê de a fabricante enviar isso para uma empresa como a TeddyMobile. Por fim, o hacker especificou que há ainda uma forma de o software da TeddyMobile coletar dados bancários do usuário no momento em que ele copia e cola isso de um app para o outro.
Apesar disso tudo, não há nenhuma confirmação de uma empresa de segurança sobre essa possível coleta de dados não autorizada, e a OnePlus ainda não se pronunciou sobre o caso. Em outubro do ano passado, a empresa também esteve envolvida em outra polêmica similar, quando usuários descobriram que dados de uso dos celulares estavam sendo coletados sem autorização para “melhorar a experiência de uso”. A OnePlus informou na época que estaria trabalhando em uma forma de permitir que o usuário desativasse esse recurso, mas não há novas atualizações sobre esse assunto. Também não sabemos se esses dois casos são relacionados de alguma forma.
Categorias