13/01/2018

13/01/2018

Falso alarme: afinal não deverá haver problema com os dados enviados pela OnePlus para o Alibaba


Anteontem falámos sobre mais uma situação estranha a envolver a OnePlus. Tendo em conta o passado recente desta marca, basta uma pequena suspeita para que todos os alarmes se façam soar, e foi precisamente isso que aconteceu desta vez, com mais uma falha de segurança a ser detectado num smartphone da OnePlus.

Um utilizador detectou uma app de sistema a correr numa ROM beta para o OnePlus 3T, a qual estava a enviar dados para um servidor da Alibaba. A resposta da OnePlus não se fez esperar, mas infelizmente não foi suficiente para clarificar a questão, o que só acabou por causar mais preocupação junto da comunidade Android. Esperava portanto uma clarificação por parte da OnePlus, mas o que acabou por acontecer foi algo bem diferente, com um utilizador no Reddit (lambdaq) a explicar o comportamento da aplicação.

"Chinese here.

Maybe I can provide some insight and background story. Here are the API requests OP captured http://bigdata.taobao.com/docs/api.htm?apiId=31578 & https://open.alitrip.com/docs/api.htm?apiId=26657. So there are two Internet giants in China, Alibaba and Tencent. Tencent has this mega [-] app pretending to be IM chat app, Wechat. People share [-] taobao links in Wechat. Wechat got jealous, the blocked all *.taobao.com *tmall.com links to "protect the customer from fraud". The taobao guys invented something clever, they invented some kind of hash code, which is called 淘口令, which is some kind of token that uniquely link to a taobao/tmall SKU, so Wechat can not block arbitrary alphanumberic tokens.
"

Exemplo de um link da Taobao 

"But after all, tere's the catch, how does Oneplus ROM has anything to do with this? Well, the clever part is they will match certain strings from your clipboard, send the token to Taobao API, and restore the original SKU links. That's it, that's why you will see strange URL requests going to Chinar IPs," explica lambdaq.

Segundo este utilizador, não passa de um estratagema para contornar as limitações impostas por um dos grandes operadores de internet chineses, que está a bloquear o tráfego com destino ao Alibaba (que pertence à concorrência), argumentando que se pode tratar de um processo de fraude.

Partindo do princípio que assim é, não haverá razões para preocupação, até porque a OnePlus já assumiu que a presença da app no OxygenOS, não passou de um erro que irá prontamente ser corrigido. O que se lamenta, é o facto de a OnePlus não ter tido esclarecido a questão desta forma, tendo que ser um utilizador a fazer o papel que caberia à marca.

0 comments:

Enviar um comentário