Reuters het 'n waarskuwingsartikel vrygestel dat die Chinese reus Xiaomi die persoonlike data van miljoene mense opneem oor hul aanlynaktiwiteite, sowel as hul toestelgebruik. "Dit is 'n agterdeur na die funksionaliteit van 'n foon," het Gabi Cirlig half grappenderwys gesê oor sy nuwe Xiaomi-slimfoon.
Hierdie gesoute kuberveiligheidsnavorser het met Forbes gepraat nadat hy ontdek het dat sy Redmi Note 8-slimfoon op alles wat hy gedoen het, spioeneer. Hierdie data is toe gestuur na afgeleë bedieners wat deur mede-Chinese tegnologiereus Alibaba aangebied is, wat waarskynlik deur Xiaomi gehuur is.
Mnr Kirlig het ontdek dat 'n kommerwekkende hoeveelheid inligting oor sy gedrag opgespoor word terwyl verskeie tipes data gelyktydig van die toestel af ingesamel is - die spesialis was geskok dat besonderhede van sy identiteit en privaat lewe ten volle aan die Chinese maatskappy bekend was.
Toe hy deur webwerwe in die standaard Xiaomi-blaaier op die toestel geblaai het, het laasgenoemde al die werwe wat besoek is, aangeteken, insluitend navrae van soekenjins, of dit nou Google of die privaatheid-gefokusde DuckDuckGo is, en alle items wat in die nuusvoer van die Xiaomi-dop gesien is, was ook aangeteken. Boonop het al hierdie toesig gewerk selfs toe die "incognito"-modus gebruik is.
Die toestel het aangeteken watter vouers oopgemaak is, watter skerms gewissel is, selfs wanneer dit by die statusbalk en die toestelinstellingsbladsy gekom het. Alle data is in groepe na afgeleë bedieners in Singapoer en Rusland gestuur, hoewel die bedieners se webdomeine in Beijing geregistreer is.
Op Forbes se versoek het 'n ander kuberveiligheidsnavorser, Andrew Tierney, sy eie ondersoek gedoen. Hy het ook ontdek dat die blaaiers wat deur Xiaomi op Google Play verskaf word - Mi Browser Pro en Mint Browser - dieselfde data versamel. Volgens Google Play-statistieke is hulle saam meer as 15 miljoen keer geïnstalleer, wat beteken dat miljoene toestelle geraak kan word.
Die probleme, volgens mnr. Kirlig, geld vir 'n veel groter aantal modelle. Hy het firmware vir ander Xiaomi-fone afgelaai, insluitend die Xiaomi Mi 10, Xiaomi Redmi K20 en Xiaomi Mi MIX 3, voordat hy bevestig het dat hulle 'n identiese blaaier gebruik en waarskynlik aan dieselfde privaatheidskwessies ly.
Dit lyk ook of daar probleme is met die manier waarop Xiaomi data na sy bedieners oordra. Alhoewel die Chinese maatskappy beweer dat die data geïnkripteer is, het Gabi Kirlig gevind dat hy vinnig kon sien wat van sy toestel afgelaai is omdat die enkripsie die eenvoudigste base64-algoritme gebruik. Dit het net 'n paar sekondes geneem om die datapakkies in leesbare stukke inligting te omskep. Hy het ook gewaarsku: "My grootste bekommernis rakende privaatheid is dat die data wat na afgeleë bedieners gestuur word, baie maklik met 'n spesifieke gebruiker geassosieer word."
In reaksie op die bevindinge van die genoemde kundiges, het 'n Xiaomi-woordvoerder gesê dat die navorsingseise nie waar is nie, en privaatheid en sekuriteit is van kardinale belang, en die maatskappy hou streng by en voldoen ten volle aan plaaslike wette en regulasies rakende gebruikersprivaatheidskwessies. . Maar die woordvoerder het bevestig dat blaaierdata ingesamel word, en gesê die inligting is anoniem en nie aan enige individu gekoppel nie, en gebruikers stem in tot sulke opsporing.
Maar soos Gabi Kirlig en Andrew Tierney uitwys, was dit nie net inligting oor webwerwe wat besoek is of internetsoektogte wat na die bediener gestuur is nie: Xiaomi het ook data oor die foon ingesamel, insluitend unieke nommers om 'n spesifieke toestel en weergawe van Android te identifiseer. Sulke metadata kan maklik gekorreleer word met die regte persoon agter die skerm indien verlang.
’n Xiaomi-woordvoerder het ook bewerings dat blaaierdata in incognitomodus opgeneem word, verwerp. Sekuriteitsnavorsers het egter in hul onafhanklike toetse gevind dat hul aanlyngedrag boodskappe na afgeleë bedieners stuur, ongeag in watter modus die blaaier loop, wat beide foto's en video's as bewys verskaf.
Toe Forbes-joernaliste 'n video aan Xiaomi verskaf het wat wys hoe Google-soektogte en webwerfbesoeke selfs in incognitomodus na afgeleë bedieners gestuur is, het 'n maatskappywoordvoerder voortgegaan om te ontken dat die inligting opgeneem word: "Hierdie video demonstreer die versameling van anonieme blaaierdata, wat is een van die mees algemene besluite wat deur internetmaatskappye geneem word om die algehele blaai-ervaring te verbeter deur nie-persoonlik identifiseerbare inligting te ontleed."
Sekuriteitskenners meen egter dat die gedrag van die Xiaomi-blaaier baie meer aggressief is as ander gewilde blaaiers soos Google Chrome of Apple Safari: laasgenoemde teken nie blaaiergedrag, insluitend URL's, aan sonder die gebruiker se uitdruklike toestemming en in privaatblaaimodus nie.
Daarbenewens het mnr. Kirlig in sy navorsing ontdek dat die musiekspeler wat vooraf op Xiaomi-slimfone geïnstalleer is, inligting oor luistergewoontes insamel: watter liedjies word gespeel en wanneer.
Gabi Kirlig vermoed ook dat Xiaomi sagtewaregebruik monitor, want elke keer as hy programme oopmaak, word 'n klein hoeveelheid inligting na 'n afgeleë bediener gestuur. Nog 'n anonieme navorser wat deur Forbes aangehaal is, het gesê hy het ook aangeteken hoe die Chinese maatskappy se fone soortgelyke data ingesamel het. Xiaomi het nie kommentaar gelewer oor hierdie saak nie.
Daar word gerapporteer dat die data aan die Chinese ontledingsmaatskappy Sensors Analytics (ook bekend as Sensors Data) gestuur word, wat in 2015 gestig is en besig is met in-diepte ontleding van gebruikersgedrag en die verskaffing van professionele konsultasiedienste. Sy gereedskap help kliënte om verborge data te verken deur sleutelgedragspatrone te ondersoek. ’n Xiaomi-woordvoerder het die verband met die opstart bevestig: “Alhoewel Sensors Analytics ’n data-analise-oplossing vir Xiaomi bied, word die versamelde anonieme data op Xiaomi se eie bedieners gestoor en sal dit nie met Sensors Analytics of enige ander derdeparty-maatskappye gedeel word nie.”
Bron: 3dnews.ru