Oneplus-Smartphones sammeln detaillierte und nicht anonymisierte Nutzungsdaten ihrer Smartphones und senden sie an den chinesischen Hersteller. Das fand der britische Securtiy- und Tech-Blogger Christopher Moore schon Anfang Juni heraus.Verantwortlich sind Schnüffelfunktionen im herstellereigenen OxygenOS.

Die späte Antwort von Oneplus auf den Vorwurf lässt nun die Wogen hochschlagen.

Christopher Moore zeigt in einem Ausschnitt einige der Daten, die Oneplus von seinen Nutzern erhält, ohne das sie das abschalten können. (Bild: [Link auf https://www.chrisdcmoore.co.uk/post/oneplus-analytics/] )

Bei der Analyse der Datenverkehre fiel Moore auf, dass die Domain "open.oneplus.net" auffällig oft auftauchte. Sie gehört zu Oneplus und wird auf AmazonAWS-Servern gehostet. An diese Adresse sendet das Smartphone zwei https-Datenströme: Einen zur Authentifizierung und einen mit dem Titel "Pushdata". Darin wiederum sind ein Zugangs-Token enthalten sowie die in base-64 codierten Nutzerdaten im JSON-Format. Dabei handelt es sich beispielsweise um Vorgänge wie das Einschalten des Displays oder Abstürze.

Brisanter ist, dass auch die IMEI-Nummer und Telefonnummern, der IMSI-Präfix, aber auch Mac-Adressen, WLAN-Namen sowie die Gerätenummer übertragen werden. Diese Gerätenummer ist dem Kunden namentlich zuzuordnen, da er das Gerät ausschließlich beim Hersteller selbst per Direktversand bekommen kann.

Die weitere Analyse des Bloggers ergab, dass sogar übermittelt wurde, welche Apps wie lange geöffnet waren. Verantwortlich dafür sind zwei Instanzen, nämlich der OnePlus Device Manager und der OnePlus Device Manager Provider, darin speziell der OneplusAnalyticsJobService im OnePlus System Service. In gerade mal zehn Stunden übertrug dieser laut Moore 16 Megabyte Daten an den Hersteller.

Oneplus: Das ist gewollt

Den OnePlus-Dienst zum Sammeln von Nutzerdaten kann man deinstallieren, sagt Twitter-Nutzer Jakub Czekanski. (Bild: [Link auf https://www.chrisdcmoore.co.uk/post/oneplus-analytics/] )

Ein Abschalten des unfreiwilligen Datenexportes ist laut Nachfrage beim Oneplus-Service nicht möglich. In einem Tweet auf den Blog-Eintrag von Christopher Moore wies der Twitter-Nutzer Jakub Czekanski auf die Möglichkeit hin, den Oneplus-Dienst auch ohne Root-Zugriff zu deinstallieren.

Oneplus reagierte mit einer haarsträubenden Antwort: Ein Sprecher räumte gegenüber der Website Android Authority die Richtigkeit der Vorwürfe ein. Es werden laut Oneplus zwei Datenströme gesendet: Die Übertragung der Nutzungsdaten sei abschaltbar, der zweite Stream mit Geräteinformationen aber nicht. Diese Daten seien für einen besseren Support nötig. Warum es dazu nötig ist, das Nutzerverhalten detailliert zu protokollieren, sagte der Sprecher nicht.

Die flapsige Antwort dürfte besonders sicherheitsbewusste Kunden nicht zufrieden stellen und der Marke einen weiteren Kratzer im Lack verpassen. Die Firma kämpfte zuletzt mit Problemen, unter anderem mit Abstürzen des OnePlus 5 beim Notruf, schlechtem Service und falsch eingebauten Displays. Die Ironie der Geschichte ist, das gerade der After-Sales-Support von Oneplus massiv in der Kritik steht.

Seine Entdeckungen machte der Software- und Sicherheits-Blogger Moore mit einem Oneplus 2. Die Antwort von Oneplus legt aber nahe, dass die Vorwürfe auch auf neuere Geräte übertragbar sind. Das konnte die Redaktion allerdings bislang noch nicht nachvollziehen. Unter Umständen sind dafür auch unterschiedliche Android-Versionen ursächlich. (mil)