OnePlus répond aux accusations de vol de données : “ceci est faux”
OnePlus est de nouveau accusé de vol de données. Le constructeur chinois de smartphones transférerait les données de ses utilisateurs en Chine par le biais de son application Clipboard. Une pratique qu'aurait mis en lumière le chercheur français en cybersécurité Elliot Alderson. La firme chinoise a réagi et dément. OnePlus tient à rassurer ses utilisateurs et affirme que les propos d'Elliot Alderson sont faux.
OnePlus répond aux accusations de vol de données qu'a formulé Elliot Alderson, chercheur français en cybersécurité. Ce dernier avait déjà épinglé les fuites de données personnelles des smartphones Wiko vers la Chine, en novembre 2017. Et il avait promis de surveiller les différents constructeurs. Le 25 janvier, il s’interrogeait sur Twitter concernant Clipboard, l'application presse-papier des OnePlus. Celle-ci contient un fichier badword.txt que l'analyste considère comme suspect.
OnePlus dément voler les données personnelles de ses utilisateurs
Elliot Alderson, chercheur en sécurité, avait déjà pointé du doigt OnePlus et Wiko pour des fuites de données à l'étranger. Concernant OnePlus, l'analyste trouvait suspectes les applications de débogage inclues dans les smartphones. Seulement quelques mois après avoir reproché ces pratiques à OnePlus, Elliot Alderson a de nouveau attaqué la firme chinoise le 25 janvier 2018. En effet, après avoir analysé le code de l'application presse-papier, il a découvert l'envoi de données vers un serveur Teddy Mobile en Chine.
Une annonce a été faite au sujet de notre application “Clipboard”, qui recueillerait et enverrait des données vers un serveur. Ceci est faux. Le code est entièrement inactif sur l’Open Beta d’OxygenOS, notre système d’exploitation global. Sur OxygenOS, aucune donnée n’est envoyée hors du téléphone sans le consentement de l’utilisateur.
OnePlus a réagi immédiatement sur son forum et nous a fait parvenir ses explications officielles dans la foulée. La firme se montre très claire dans ses déclarations. A priori, OnePlus a intégré par inadvertance du code HydrogenOS, spécifique au marché chinois, dans OxygenOS, le système d'exploitation global. Mais ces morceaux de code sont inactifs. Ils n'envoient donc pas de données à l'étranger. Malheureusement, la firme est empêtrée dans les difficultés depuis quelques mois, et la méfiance est de mise du côté des utilisateurs. Notamment après que 40.000 numéros de carte bancaire aient été volés sur le site officiel OnePlus.
The @OnePlus #clipboard app contains a strange file called badword.txt ?
In these words, we can find: Chairman, Vice President, Deputy Director, Associate Professor, Deputy Heads, General, Private Message, shipping, Address, email, …https://t.co/ePQvD1citn pic.twitter.com/3dCh0joVkH
— Elliot Alderson (@fs0c131y) 25 janvier 2018
This badword.txt is duplicated in a zip file called pattern. This archive contains 7 files:
– badword.txt
– brackets.txt
– end.txt
– follow.txt
– key.txt
– start.txt pic.twitter.com/pqJgdGJyuj— Elliot Alderson (@fs0c131y) 25 janvier 2018