Journal OnePlus téléphone maison

Posté par  . Licence CC By‑SA.
Étiquettes :
46
11
oct.
2017

OnePlus, la société chinoise réputée pour vendre des téléphones Android à très bon rapport qualité prix, a installé un spyware une solution Analytics sur ses téléphones.

L'auteur de cette découverte, Christopher Moore, a utilisé un proxy pour étudier ce qu'envoyait son téléphone sur le réseau, et a découvert des trames envoyées vers l'adresse https://open.oneplus.net. Celui-ci nous fait part sur son blog de plus amples détails.

Les données, encodées en base64, montrent que le téléphone rapporte des événements se rapportant à l'utilisation d'une application d'e-mails, de messagerie instantanée ou encore à celle d'un navigateur web. De plus, le téléphone rapporte également des données non anonymisées permettant l'identification de l'utilisateur comme le numéro de série du téléphone, son IMEI, les MAC adresses ou encore les SSID des réseaux wifi utilisés.

Pour ceux qui seraient impactés par ce problème, vous trouverez sur l'article original une solution pour désactiver les grandes oreilles de OnePlus.

https://www.chrisdcmoore.co.uk/post/oneplus-analytics/

  • # Quantité de données

    Posté par  . Évalué à 5.

    Ce qui m'étonnera toujours, c'est que les coûts associés à la collecte et au stockage de ce genre de données est pharamineux. 1.6 Mo par heure et par utilisateur, ça fait 14 Go par an!

    • [^] # Re: Quantité de données

      Posté par  . Évalué à 7.

      Un disque dur de gamme datacenter de 10To, c'est 440$ (premier prix trouvé). ça fait donc 5 \cdot \frac{440}{714} = 3$ par utilisateur pour 5 ans (durée de la garantie du disque), bon je ne tient pas compte que la consommation électrique du disque, ni le footprint, mais je doute que ça augmente beaucoup le coût par utilisateur. Ça ne me semble pas excessif comme coût.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Quantité de données

        Posté par  . Évalué à 6.

        je pense qu'il parle du coût pour l'utilisateur, pas pour la société qui collecte (14 Go, c'est par exemple quasiment 3 mois de data pour un forfait RED SFR à 10 euros par mois qui te permet de disposer de 5 Gb par mois. Faut juste voir si le calcul se fait l'upload ou le download ou les deux …).

        • [^] # Re: Quantité de données

          Posté par  . Évalué à 6.

          Dans ce cas, il faut voir si le téléphone attend d'être en WiFi pour envoyer les données.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Quantité de données

            Posté par  . Évalué à 9.

            Dans ce cas, il faut voir si le téléphone attend d'être en WiFi pour envoyer les données.

            Mais pourquoi faire, puisque c'est l'utilisateur qui paye, on vient de le dire!?

            ------> [ ]

        • [^] # Re: Quantité de données

          Posté par  . Évalué à 2.

          A priori les deux seraient mélangés

      • [^] # Re: Quantité de données

        Posté par  . Évalué à 4. Dernière modification le 12 octobre 2017 à 09:30.

        ça fait donc 5 \cdot \frac{440}{714} = 3$ par utilisateur

        Mmmhh, c'est compliqué de compter comme ça (location des locaux, des serveurs, de l'électricité, prix de la redondance/archivage et la maintenance…). Apparemment ça redirige vers le cloud d'Amazon, qui propose 0.0022$/Go/mois, soit environ 3 centimes / utilisateur / mois si on fait rouler les logs (ce qui ne parait pas si cher que ça, puisque ça va chercher dans les 2$ par smartphone). Par contre, si toutes les données sont sauvegardées, ça fait beaucoup plus, 16Go le premier mois, 32Go le deuxième, etc. Donc en tout sur 60 mois, ça fait 64$ par smartphone, ça parait déraisonnable, non? Ça suggère que les données perso ne sont pas stockées très longtemps.

        Mais bon, ça n'excuse pas du tout, hein. C'est juste que l'idée répandue que toutes nos données perso sont archivées quelque part et que tout le monde sait tout de nous depuis 20 ans ne tient pas vraiment la route économiquement (et comme je le disais dans une discussion récente, il y a un monde entre la valorisation théorique d'une base de données personnelle (environ 500$ par utilisateur de Facebook, par exemple), et la quantité d'argent qu'on peut en retirer dans le monde réel).

        • [^] # Re: Quantité de données

          Posté par  . Évalué à 4.

          Donc en tout sur 60 mois, ça fait 64$ par smartphone

          Oui mais les constructeurs comptent sur un remplacement de presque tous les téléphhnes au bout de 2ans, voire 3ans pour les plus conservateurs.

          Tu peux déjà diviser la facture!
          Après, effectivement, ce n'est pas forcément la peine de tout garder.

          • [^] # Re: Quantité de données

            Posté par  . Évalué à 5.

            un remplacement de presque tous les téléphones au bout de 2ans, voire 3ans pour les plus conservateurs.

            Si ce chiffre est proche de la vérité (et je crois que c'est le cas), c'est très inquiétant quand on a une petite idée du coût écologique et humain de la fabrication d'un téléphone.

            • [^] # Re: Quantité de données

              Posté par  . Évalué à 1.

              C'est probablement vrai. La moyenne doit être en 2 et 3 ans

            • [^] # Re: Quantité de données

              Posté par  . Évalué à 2.

              Absolument, mais regarde les forfaits téléphoniques: on te vend le remplacement tous les 2ans, pour être "toujours au top!".
              Il se vend près de 2milliards de smartphones par an!!

        • [^] # Re: Quantité de données

          Posté par  . Évalué à 4.

          ça fait beaucoup plus, 16Go le premier mois, 32Go le deuxième, etc. Donc en tout sur 60 mois, ça fait 64$ par smartphone, ça parait déraisonnable, non

          Tu considère que tu garde tout chez Amazon, mais tu peux les analyser une première fois et les rapatrier en local pour la conserversation.

          location des locaux

          C'est ce que j'ai écris en parlant de footprint

          de l'électricité

          C'est exactement ce que j'ai écrit.

          prix de la redondance

          J'ai déjà fait du raid1 dans mon calcul

          Après, je ne dis pas que c'est gratuit mais qu'avec beaucoup de disque, ça devient négligeable. Mais comme, je le dis, c'est une approximation de ma part. Si tu veux faire un calcul pour me montrer que j'ai tord, j'en serais très content.

          il y a un monde entre la valorisation théorique d'une base de données personnelle (environ 500$ par utilisateur de Facebook, par exemple), et la quantité d'argent qu'on peut en retirer dans le monde réel).

          Entièrement d'accord, c'est comme la différence entre les calculs de « fortune » et ce que tu peux effectivement avoir commme argent. Typiquement, rien ne dit que tu vendras ta maison au prix estimé. Après, ce n'est pas parce que ce n'est pas rentable que ce n'est pas fait, soit tu as des organisations comme la NSA qui ne visent pas la rentabilité ou tu peux avoir des entreprises classiques qui vont survaloriser le prix des données et dépenser plus que ce qu'elles ne valent pour les conserver et les analyser.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Quantité de données

        Posté par  . Évalué à 1.

        Ce n'est pas parce que le téléphone envoie 1Go que l'on doit stocker 1Go. Si les données sont encrypté, elles diminuent énormément une fois décryptées. Si le format est XML, idem. Et bien souvent on agrège les données on stocke par exemple le nombre de connexion sur chaque site et non l'url complète à chaque fois et pourtant a chaque envoi, il faut donner l'url complète, il y a aussi parfois des entête de contrôle inutile (numéro de version…)

    • [^] # Re: Quantité de données

      Posté par  . Évalué à 3.

      Rien ne te renseigne sur la durée de rétention.
      Rien ne te renseigne non plus sur ce qu'il garde de ces 16MB.
      J'avais lu que ggl gardait en gros six moi de données sur un utilisateur car c'est la durée qui donnait le meilleur profile. Les données trop anciennes n'étant pas pertinentes pour cibler le prospect.
      En fait il faut mettre en relation le coût de collecte + stockage + analyse avec le valeur marchande du profil.

  • # HTTPS inutile

    Posté par  (site web personnel) . Évalué à 5.

    Et ça ne choque personne qu'ils font de l'https mais que manifestement, ils ne vérifient pas les certificat puisqu'il a pu faire du man in the middle pour récupérer les données?

    Donc non seulement, les données sont envoyées à oneplus mais en plus, tout le monde peut les collecter.

    • [^] # Re: HTTPS inutile

      Posté par  . Évalué à 7.

      Peut être qu'il est juste root sur son téléphone ?

    • [^] # Re: HTTPS inutile

      Posté par  . Évalué à 4.

      Tu peux ajouter un certificat perso sur ton téléphone en tant que certificat de confiance, et utiliser ce certificat pour signer des clés SSL pour le domaine de ton choix. Ca te permet de faire du man in the middle sans erreur de certificat HTTPS. La seule parade est que le client fasse du certificate pinning pour détecter que le certificat pourtant valide qu'on lui présente ne correspond pas à ce qu'il attend.

  • # Tracker les utilisateurs c'est mal

    Posté par  . Évalué à 0.

    Brrr c'est pas bien ! Le modèle économique est tel que vendre du matériel de qualité ne permettrai pas de faire vivre une entreprise.

    Avec les données ils peuvent revendre quelque chose, longtemps après la vente du tel, définir les usages et optimiser etc.etc.. l'utilisateur vache a lait ! les plateformes achètent ces datas pour relier leurs profils ensemble et identifier de manière unique, quel téléphone et qui est derrière le téléphone, même si peut de personne partage cet objet.

    Comme pour les autre Os il faut en installer un avec lequel on peut avoir confiance. Et même si enlever les Gapps d'android n'est pas simple on se rend compte qu'il n'existe pas meilleurs solutions

    Peut être une "charte libre objet technique" ou une version du meme materiel + cher + anonyme ?

    D'ici à ce que l'on trouve des tracker dans lineageOs ou maruOs ou Paranoid(qui gère le OnePlus2)
    Bon faut avoir un téléphone d'y à 2 ans au moins :o)
    Allez librement votre ! !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.