El fabricante de
'smartphones' OnePlus ha sido acusado de enviar información personal de
usuarios de sus dispositivos a un servidor chino peteneciente a la compañía
Teddy Mobile, especializada en soluciones de lista de contactos telefónicos.
Dentro de los datos transferidos se encontrarían números IMEI, direcciones IP o
números de teléfono.
El investigador de
seguridad Elliot Alderson ha publicado este viernes varios 'tuits' en su perfiul
de Twitter donde alerta de que OnePlus transfiere datos personales procedentes
del portapapeles de sus 'smartphones' a un servidor propiedad de la compañía
china de servicios de Internet móvil Teddy Mobile.
El código compartido
por este usuario de Twitter revela que OnePlus transfiere a esta empresa
información como el código IMEI del terminal --un número que identifica a cada
unidad--, la dirección IP, el número de teléfono o el número de serie de su
'hardware', entre otros datos.
According to the code
@OnePlus is sending your IMEI and the phone manufacturer to a Chinese server
owned by teddymobile ?? pic.twitter.com/Au0u1sdpNi
— Elliot Alderson
(@fs0c131y) 25 de enero de 2018
El portapapeles de
los 'smartphones' OnePlus, utilizado para conservar la información copiada por
el usuario para ser pegada en otro lugar, contiene un archivo de texto que
almacena palabras como 'dirección', 'email' o 'mensaje privado'. Este archivo,
identificado por Alderson como badword.txt, también está incluido en una carpeta
comprimida que parece ser propiedad de Teddy Mobile.
The @OnePlus
#clipboard app contains a strange file called badword.txt ??
In these words, we
can find: Chairman, Vice President, Deputy Director, Associate Professor,
Deputy Heads, General, Private Message, shipping, Address, email,
...https://t.co/ePQvD1citn pic.twitter.com/3dCh0joVkH
— Elliot Alderson
(@fs0c131y) 25 de enero de 2018
El investigador
incluso alerta del riesgo que supone copiar y pegar el número de una cuenta
bancaria o de una tarjeta de crédito, que puede caer en manos de esta empresa
china. Según Alderson, Teddy Mobile cuenta con método dedicado para reconocer
precisamente este tipo de información.
Esta acusación se ha
producido pocos días después de que la página de pago de OnePlus fuese atacada
con un 'script' malicioso que permitió acceder a los datos de las tarjetas de
crédito de más de 40.000 clientes, como ha reconocido el propio fabricante
asiático.
Fuente: Europa Press