Moore 在個人網誌公開了他的發現,透過 OWASP ZAP 根據截取他的 OnePlus 2 手機傳送和接收的互聯網流量,除了正常的網絡活動,他還發現大量來自 open.oneplus.net 的連線請求。經過深入檢查,Moore 發現網站屬於 OnePlus 並寄存在 Amazon AWS,他的手機恆常地將數據透過 HTTPS 傳送到 open.oneplus.net 伺服器。
利用手機內的認證密鑰,Moore 成功將傳送的數據解密,原來他的 OnePlus 2 將每次解鎖、上鎖和意外重啟的時間傳送出去。為了修正系統問題,記錄意外重啟可算合情合理,但監測用戶每次解鎖上鎖的時間就似乎有點超過。Moore 進一步監察了一段時間,得到了更驚人的發現。傳送出去的資料還包括手機的 IMEI 號碼、手機號碼、MAC 地址、電訊網絡名字和 IMSI 號碼、Wi-Fi 連線資料和手機序號,就連每一次用戶打開哪個手機 App,OnePlus 通通都知道。
網站 Android Police 就事件向 OnePlus 查詢,得到的回覆是他們會傳送兩組數據到 Amazon 伺服器,第一組收集的是用戶使用數據,用作因應他們的習慣修正軟件。第二組是手機資訊,用作提供更佳的售後服務。OnePlus 表示第一組數據可以在 Settings > Advanced > Join user experience program 中刪除。有網民發現利用 ADB 根據可以將 OnePlus System Service 徹底移除,不過這軟件跟 Device Manager 連結,移除後或對手機的功能有所影響。
資料來源:Android Police