OnePlus est encore une fois accusé d’espionner ses utilisateurs

22 novembre 201722/11/2017 • 15:28

OnePlus est accusé, pour la deuxième fois sur une courte période de temps, de collecter des données un peu trop personnelles sur ses utilisateurs.

Aïe ! OnePlus se retrouve de nouveau sous le coup des accusations. Il y a quelques semaines, on découvrait que le constructeur envoyait tout un tas de données personnelles sur ses serveurs. La marque avait réagi en affirmant, grosso modo, que cela servait uniquement à améliorer l’expérience utilisateur et que chacun pouvait désactiver cette collecte d’informations.

De l’eau a un petit peu coulé sous les ponts, mais voilà que le constructeur chinois est à nouveau accusé. Cette fois-ci, c’est le développeur surnommé Elliot Alderson qui dénonce des pratiques similaires. Il s’est fendu d’une série de tweets pour démontrer qu’une application système installée par défaut sur les appareils OnePlus récoltait, toutes les 6 heures, des données au fabricant.

<Thread> Hi @OnePlus 👋! How are you today? Let's talk about the OPBugReportLite found in your phone.⁰This app is a pre-installed system app which sends silently, every 6 hours, the battery stats, kernel panics, watchdogs, ANRs and all crashes of your device to Singapore.
— Baptiste Robert (@fs0c131y) November 21, 2017

Pour rappel, il s’agit du même internaute qui avait révélé les indiscrétions de Wiko en début de semaine. Cette fois-ci, il pointe du doigt une application appelée BugReportLite, dont il a décompilé le code sur GitHub. Celle-ci apparait bien dans la liste des processus système dans les paramètres du téléphone — nous sommes allés vérifier sur notre OnePlus 5T.

Sur cette capture d’écran, on peut voir que l’utilisateur ne sait pas quelles sont les autorisations de l’application.

Pour connaître les autorisations de BugReportLite, il faut utiliser ADB comme on peut le voir sur notre capture d’écran ci-dessous :

En lançant la commande « adb shell dumpsys package com.oneplus.opbugreportlite » sur ADB, on accède à toutes les autorisations de l’app.

Grâce à cela, l’application peut récolter toutes les données sur le niveau de batterie, les plantages du téléphone, les applications qui ne répondent plus, etc. Elle envoie ensuite le tout sur des serveurs basés à Singapour. Le gros problème étant que ces informations ne seraient pas anonymes d’après le développeur.

7. These practises violate laws. In theory, OEMs have to de anonymise the data they upload. They have to be unable to identify the user.
— Baptiste Robert (@fs0c131y) November 22, 2017

Mais Elliot Alderson va encore plus loin. Il affirme que, grâce à cela, OnePlus peut avoir accès à des informations très précises sur les usages de l’utilisateur. Par exemple, avec les données sur la batterie, il est possible de savoir quelles applications ont été téléchargées et de savoir lesquelles consomment le plus.

Par ailleurs, dans le code, le développeur a également découvert des méthodes et des variables non utilisées. C’est ce qu’il indique dans le tweet ci-dessous :

In the code, you can also find some unused methods and variables like getMediaFile (seriously?), TYPE_LOGGING_TCPDUMP, TYPE_LOGGING_BT, TYPE_LOGGING_CAMERALOG, TYPE_LOGGING_GPS. Imagine all the data they used to dump before… pic.twitter.com/dmcRAyHrpo
— Baptiste Robert (@fs0c131y) November 21, 2017

Rien ne permet d’indiquer si OnePlus a déjà exploité ces fonctions. Mais si ces variables venaient à être activées, elles donneraient accès au trafic Internet, à la manière dont est utilisé le Bluetooth, à l’historique des coordonnées GPS et, avec getMediaFile, il est même possible d’envoyer un fichier média du téléphone aux serveurs de OnePlus.

Il faut donc espérer que le constructeur n’y ai jamais eu recours et ne compte pas non plus s’y mettre.

Des invités passionnants et des sujets palpitants ! Notre émission UNLOCK est à retrouver un jeudi sur deux en direct, de 17 à 19h sur Twitch. Pensez aussi aux rediffusions sur YouTube !

Signaler une erreur dans le texte

Les notifications web

Les notifications push vous permettent de recevoir toute l'actualité de Frandroid en temps réel dans votre navigateur ou sur votre téléphone Android.

Activer les notifications

Choisir les notifications

En savoir plus sur les notifications web

« Les gens ne doivent pas faire confiance aux constructeurs de téléphones », portrait d’un lanceur d’alerte

[…] ne dépassent pas les limites en ce qui concerne la collecte de données. En quelques semaines, il a accusé OnePlus de collecter trop de données utilisateur — et l’entreprise chinoise a fourni des […]
PayPal accusé de collecter plus de données personnelles que nécessaire

[…] On ne va pas vous le cacher, cette semaine nous avons relayé beaucoup d’informations concernant la collecte de données personnelles par certaines entreprises de la Tech. On pense notamment aux accusations qui ont visé Wiko et OnePlus. […]
Carl peil is God

combien de Kevin seraient pret à sucer Carl peil pour avoir leur daube chinoise ?
oppofan

encore un article fais par un hater! one plus for life!! j'ai fait la queue pendant 24h pour avoir mon one plus 1 que j'ai toujours même si la batterie est naze ( j'attends le one plus 6 avec le double appareil photo) et jamais ils collecteront nos données les entreprises chinoises sont gentilles ! miaou ! bon je vous laisse j'ai cours de maths nique sa mère !
g@zg@z78

Utilisez notre api, merci ;)
Android77

Ça ne se règle pas via un menu tout ça ? Sur mon Motorola et sur windows c'est dans les menus confidentialité
Will Cox

#BalanceTonOnePlus
marco

Avec ADB, on ne peut pas tout simplement désactiver définitivement l'App BugReportLite ? Si oui, comment ?
Cabotin

Je pense qu'il fait référence aux programmes malveillants dont tu parles dans ton commentaire précédent. Pour qu'une appli utilisateur (typiquement une appli installée via le Play Store) ait accès aux droits root il faut forcément qu'elle te demande l'autorisation via Magisk ou SuperSU. Par contre pour une appli système préinstallée telle que BugReport ou DeviceManager, pas besoin de te demander ton autorisation. Tout ça pour dire que si tu fais gaffe à quelles applications tu donnes les droits root, aucun risque.
n00b

Il fat l'autoriser dans supersu?
BananeKAWAÏ666

MOUAis mouais
Funk

Non,pas de média "volé" chez Apple. A vouloir du pas cher...Bah on se fait cocufier (et dans tous les domaines.......double peine pour les "pauvres".....Matos de m*rde et vicieux ou pas solide) Je parle aussi pour moi,le smicard,n'ayez crainte ;)
sirnas

Arrêtes de le flatter autant, il va avoir la grosse tête et va moins faire d'effort, après il sortira les mêmes blagues que tre... ?
iAndroid

#AuSecoursApple !
tabo56

Et c'est tant mieux comme ça, pas de risque quelqu’un espionne le boss ;)
sirnas

Bonjour Monsieur Pei, on est la NSA, on a besoin d'aide pour pirater un smartphone, comment on fait ? Allez y doucement on est un peu lent...
sirnas

En six heures ils ont tout vendu leur Stock de 5t Même plus un seul de dispo pour le boss
Lord_Babass

Et bé !!!
Usoeo

Etre rooté c'est aussi être utilisateur admin du coup t'as tous les droits, parfait pour un piratage non ? Ou je me trompe ?
g@zg@z78

En l'état actuel oui.
Delou

Dit et redit pour Apple. Ca n'est pas leur Business model. Et je sais qu'on est sur un site de Trolls baveux mais c'est prouvé par A+B qu'iOS est bien plus costaud question sécurité et Leaks. iOS tu le payes dans le prix de ton Tel. Par Android. Demande toi pourquoi c'est gratuit. Pareil pour le prix de certains Téléphones tres peu chers (sans justifier le prix de l'X j'en vois venir). Moi ce qui me catastrophe vraiment c'est de voir qu'on assiste à un sniffage en regle de nos données SANS AUTORISATION (important) et la seule réponse, c'est "hololol c'est pire ailleurs". Woaw.
Tre

oui Carl est très fort pour refourguer sa came !
azerty55

Du génie ,simple et efficace
Tre

c'est moi ou y a une grosse faille de sécu d'android qui affiche "aucune autorisation demandée" alors qu'en réalité ce n'est pas le cas d'après ce que vous dites en vérifiant avec ADB ? Avez vous consulté Google et les équipes en charge d'Android sur ce sujet très important ? Si oui peut on avoir leur réponse svp, parce que là c'est clair qu'on ne peut plus faire confiance aux autorisations données ou non qui sont affichées par le système !!!!
Tre

Carl n'a même pas le 5T O_o ???!!!
Tre

bof c'est pour améliorer l'expérience utilisateur épicétou !!!
Kernald

Ça, je dis pas, mais du coup le code existant n'a plus d'importance :-)
g@zg@z78

Ou alors une petite mise a jour silentieuse de l'appli pour tout récupérer sur un téléphone en particulier. La NSA valide cette idée. ^^
g@zg@z78

Une expertise sur frandroid? Ça existe? L'espoir fait vivre à ce qu'il parait ^^
OULOULOU

Apple c'était pareil
Pierre Boussemart

Oui après je suis dehors il faut pas que ça te vole ta vie privée
Isa75

Tu découvres l'eau chaude :) https://www.frandroid.com/android/472412_android-collecte-notre-position-meme-quand-la-geolocalisation-est-desactivee
Celine

https://www.frandroid.com/android/472412_android-collecte-notre-position-meme-quand-la-geolocalisation-est-desactivee Tu vas être obligé de changer d'OS même si cela ne changera pas grand chose au final :)
Gambi

Donc pour toi, une partie de ta vie privée qui transite en clair vers on se sais ou c'est cool?
Diantro

Toutes ces accusations d'espionnage, d'utilisation de données personnelles et de back doors dans les appareils Oneplus, c'est n'importe quoi ! Envoyé par Carl Pei via mon Oneplus 5.
Celine

Par contre porter des accusations de corruption sans la moindres preuves est tout à fait normal ....
chorus

Si tu commences à enlever des points pour ce genre de problèmes, je ne pense plus trouver de smartphones au dessus de la moyenne :)
Gambi

9/10 :)
iAndroid

#BalanceTonOnePlus !
iAndroid

Ouais c'est ça ouais, j'ai envie de dire que c'est juste une façon de te rassurer par rapport aux autres.
gano 007

ouais tu as tout a fait raison ! Apple Google sur ses pixels, et Samsung ne collectent pas les informations utilisateurs ! c'est sur c'est bien connu sur le web le client n'est pas un produit ... tu paye plus cher c'est juste peut etre moins visible ;p
Thera

"Il faut donc espérer que le constructeur n’y ai jamais eu recours et ne compte pas non plus s’y mettre." => Mais quelle blague. C'est ça votre expertise High Tech, espérer ? Vous pouvez aussi arrêter de prendre les sous sous de One Plus et dire que la marque est à bannir. Du coup, de mon côté, je vais espérer que Frandroid découvre le mot déontologie.
Kernald

<blockquote>Rien ne permet d’indiquer si OnePlus a déjà exploité ces fonctions. Mais si ces variables venaient à être activées</blockquote> C'est plus compliqué que ça. Si ces variables ne sont pas utilisées du tout, c'est qu'aucun code ne les utilise - même pour implémenter les fonctionnalités qui pourraient hypothétiquement être associées. L'hypothèse la plus probable, c'est que ce sont des fonctionnalités que remplissait l'application à un moment donné, et qui ont depuis été supprimées. Ces variables là ont été oubliées. En tout cas, dans son état actuel, l'application n'a rien de lié à ces variables là.
Pierre Boussemart

J'ai envie de dire que c'est juste une façon d'améliorer l'expérience utilisateur. Après il faut juste faire confiance au fabricant de son smartphone. Cherchez bien chez Samsung et Apple. Il doit y avoir le même genre de processus
nico

autant la partie bugreport me dérange pas plus que ça (et est-elle signalée dans un contrat au premier démarrage du tél ?) autant la seconde partie (non utilisée) est plus inquiétante...