Noticias

Acusan a OnePlus de enviar datos del portapapeles a servidores sin consentimiento del usuario

Publicado

en

Al fabricante chino de smartphones OnePlus no paran de acumulárseles los problemas. Si hace dos semanas tuvo que lidiar con el escándalo de la filtración de los datos de las tarjetas de crédito de 40.000 clientes, la semana pasada fue acusada de enviar los datos capturados mediante el portapapeles (cuando se hace la acción de copiar o cortar) a un servidor de Teddy Mobile.

El investigador en seguridad Elliot Anderson descubrió la semana pasada en el código fuente de OxygenOS, el sistema operativo bifurcación de Android creado por OnePlus, que el portapapeles enviaba información como el número de teléfono, el número de serie y el IMEI del dispositivo, algo que, según ha hecho constar en Twitter, no le gustó nada.

El asunto empezó cuando descubrió un extraño fichero llamado badword.txt, en el cual se pueden encontrar las siguientes palabras: Chairman, Vice President, Deputy Director, Associate Professor, Deputy Heads, General, Private Message, shipping, Address, email.

Aquello le invitó a seguir indagando, hallando una serie de métodos de Java para obtener el ID de Android, el número de serie de la CPU, el Id del dispositivo, el número de serie del hardware, el IMEI, la dirección IP, la dirección Mac, el número de teléfono y la resolución de la pantalla. Menos el registro de la IP y la resolución de la pantalla, el resto de métodos estaban siendo utilizados.

La indignación del investigador fue en aumento cuanto más hallazgos hacía. Primero descubrió que OxygenOS podría estar capturando mensajes junto al número de teléfono para enviarlos a los servidores de OnePlus mediante mensajes JSON.

Pero lo peor aún estaba por llegar, cuando descubrió que un código podría estar reconociendo cuentas bancarias en el portapapeles para enviárselas a un servidor de Teddy Mobile, un servicio utilizado en China para generar listas de contactos telefónicos. Cuenta con 200 millones de usuarios y también coopera con otros fabricantes como Xiaomi, Coolpad, YunOs, Oppo, Vivo, Gionee, Meizu y Lenovo.

Se trata del segundo escándalo relacionado con datos bancarios en el que se envuelto OnePlus en menos de un mes. Como defensa, el fabricante ha dicho que “la declaración de que el portapapeles ha estado enviando datos de usuario a un servidor es incorrecto. El código está completamente inactivo en OyxgenOS y los datos del usuario no son enviados a ningún servidor sin su consentimiento”, según ha comentado un portavoz de la compañía a TechNode. Aunque esta persona sí ha reconocido la presencia de los ficheros denunciados por Elliot Anderson, ha insistido en que no son usados para enviar datos a servidores.

Elliot Anderson hizo aún más indagaciones en el código de OxygenOS, descubriendo que el SDK de Teddy Mobile estaba siendo usado y que el portapapeles estaba siendo utilizado para enviar datos a dicho servicio, aunque solo cuando los usuarios eran de China, por lo que en teoría los números de teléfono procedentes de otros países no tendrían que verse afectados.

Pese a que aparentemente el problema se ha sobredimiensionado, no dejar de ser grave ver cómo los datos de los usuarios son enviados a un servidor de un tercero, posiblemente sin notificarle ni pedirle su consentimiento. Veremos si este asunto deriva en otras cosas más graves en el futuro.

Fuentes: Telecomtalk.info y TechNode

Lo más leído

Salir de la versión móvil