Reuters, Çin nəhəngi Xiaomi-nin milyonlarla insanın onlayn fəaliyyətləri və cihaz istifadəsi ilə bağlı şəxsi məlumatlarını qeyd etdiyinə dair xəbərdarlıq məqaləsi yayımladı. "Bu, telefonun funksionallığına arxa qapıdır" dedi Gabi Cirlig, yeni Xiaomi smartfonu haqqında yarı zarafatla.
Bu təcrübəli kibertəhlükəsizlik tədqiqatçısı, Redmi Note 8 smartfonunun etdiyi hər şeyə casusluq etdiyini aşkar etdikdən sonra Forbes-ə danışdı. Bu məlumatlar daha sonra Xiaomi tərəfindən icarəyə götürülmüş Çin texnologiya nəhəngi Alibaba tərəfindən idarə olunan uzaq serverlərə göndərildi.
Cənab Kirlig, cihazdan eyni vaxtda müxtəlif növ məlumatların toplanması zamanı onun davranışı ilə bağlı qorxulu miqdarda məlumatın izləndiyini aşkar etdi - mütəxəssis onun şəxsiyyəti və şəxsi həyatının təfərrüatlarının Çin şirkətinə tam məlum olmasından dəhşətə gəldi.
O, cihazda defolt Xiaomi brauzerində vebsaytlara baxdıqda, sonuncu ziyarət edilən bütün saytları, o cümlədən axtarış motorlarından, istər Google, istərsə də məxfiliyə yönəlmiş DuckDuckGo sorğularını qeyd etdi və Xiaomi qabığının xəbər lentində baxılan bütün elementlər də qeydə alınıb. Üstəlik, bütün bu nəzarət hətta “inkoqnito” rejimindən istifadə edildikdə də işləyirdi.
Cihaz status panelinə və cihaz parametrləri səhifəsinə gəldikdə belə, hansı qovluqların açıldığını, hansı ekranların dəyişdirildiyini qeyd etdi. Serverlərin veb domenləri Pekində qeydiyyata alınsa da, bütün məlumatlar qruplar şəklində Sinqapur və Rusiyadakı uzaq serverlərə göndərilib.
Forbes-in tələbi ilə başqa bir kibertəhlükəsizlik tədqiqatçısı Endryu Tierni öz araşdırmasını apardı. O, həmçinin Google Play-də Xiaomi tərəfindən təchiz edilmiş brauzerlərin - Mi Browser Pro və Mint Browser-in eyni məlumatları topladığını aşkar etdi. Google Play statistikasına görə, onlar birlikdə 15 milyon dəfədən çox quraşdırılıb, yəni milyonlarla cihaz təsirlənə bilər.
Cənab Kirliqin sözlərinə görə, problemlər daha çox sayda modelə aiddir. O, Xiaomi Mi 10, Xiaomi Redmi K20 və Xiaomi Mi MIX 3 daxil olmaqla digər Xiaomi telefonları üçün proqram təminatını yükləyib, onların eyni brauzerdən istifadə etdiyini və ehtimal ki, eyni məxfilik problemlərindən əziyyət çəkdiyini təsdiqləyib.
Xiaomi-nin məlumatları öz serverlərinə ötürməsində də çətinliklər var. Çin şirkəti məlumatların şifrələndiyini iddia etsə də, Qabi Kirliq tapıb ki, şifrələmə ən sadə base64 alqoritmindən istifadə etdiyi üçün onun cihazından nə yükləndiyini tez görə bilir. Məlumat paketlərini oxuna bilən məlumat parçalarına çevirmək cəmi bir neçə saniyə çəkdi. O, həmçinin xəbərdarlıq etdi: "Mənim məxfiliklə bağlı əsas narahatlığım odur ki, uzaq serverlərə göndərilən məlumat çox asanlıqla müəyyən bir istifadəçi ilə əlaqələndirilir."
Sözügedən ekspertlərin tapıntılarına cavab olaraq, Xiaomi sözçüsü araşdırma iddialarının doğru olmadığını, məxfilik və təhlükəsizliyin böyük əhəmiyyət daşıdığını və şirkətin istifadəçi məxfiliyi ilə bağlı yerli qanun və qaydalara ciddi şəkildə riayət etdiyini və onlara tam uyğun olduğunu söylədi. . Lakin sözçü məlumatların anonim olduğunu və heç bir şəxsə bağlı olmadığını və istifadəçilərin belə izləmə ilə razılaşdığını bildirərək, baxış məlumatlarının toplandığını təsdiqləyib.
Lakin Gabi Kirlig və Andrew Tierney-in qeyd etdiyi kimi, serverə göndərilən yalnız ziyarət edilən veb-saytlar və ya İnternet axtarışları haqqında məlumat deyildi: Xiaomi həmçinin xüsusi cihazı və Android versiyasını müəyyən etmək üçün unikal nömrələr daxil olmaqla telefon haqqında məlumat topladı. İstənilən halda, bu cür metadata asanlıqla ekranın arxasındakı real şəxslə əlaqələndirilə bilər.
Xiaomi sözçüsü də baxış məlumatlarının gizli rejimdə qeydə alındığına dair iddiaları rədd etdi. Bununla belə, təhlükəsizlik tədqiqatçıları müstəqil sınaqları zamanı aşkar ediblər ki, onların onlayn davranışı brauzerin hansı rejimdə işləməsindən asılı olmayaraq uzaq serverlərə mesaj göndərir və sübut kimi həm fotoları, həm də videoları təqdim edir.
Forbes jurnalistləri Xiaomi-yə Google axtarışlarının və vebsayt ziyarətlərinin gizli rejimdə belə uzaq serverlərə necə göndərildiyini göstərən video təqdim etdikdə, şirkət sözçüsü məlumatın qeydə alındığını inkar etməyə davam etdi: “Bu video anonim axtarış məlumatlarının toplandığını nümayiş etdirir. qeyri-şəxsi məlumatları təhlil edərək ümumi baxış təcrübəsini yaxşılaşdırmaq üçün İnternet şirkətləri tərəfindən verilən ən ümumi qərarlardan biridir."
Bununla belə, təhlükəsizlik ekspertləri hesab edirlər ki, Xiaomi brauzerinin davranışı Google Chrome və ya Apple Safari kimi digər populyar brauzerlərdən qat-qat aqressivdir: sonuncu istifadəçinin açıq razılığı olmadan və şəxsi baxış rejimində URL-lər də daxil olmaqla brauzer davranışını qeyd etmir.
Bundan əlavə, cənab Kirliq öz araşdırmasında aşkar edib ki, Xiaomi smartfonlarında əvvəlcədən quraşdırılmış musiqi pleyerində dinləmə vərdişləri haqqında məlumat toplanır: hansı mahnılar və nə vaxt səsləndirilir.
Gabi Kirlig, həmçinin Xiaomi'nin proqram təminatının istifadəsinə nəzarət etməsindən şübhələnir, çünki o, hər dəfə proqramları açanda uzaq serverə az miqdarda məlumat göndərilir. Forbes-in istinad etdiyi başqa bir anonim tədqiqatçı, Çin şirkətinin telefonlarının oxşar məlumatları necə topladığını da qeyd etdiyini söylədi. Xiaomi bu məsələ ilə bağlı şərh verməyib.
Məlumatların 2015-ci ildə qurulan və istifadəçi davranışının dərin təhlili və peşəkar məsləhət xidmətləri göstərən Çin analitik şirkəti Sensors Analytics-ə göndərildiyi bildirilir. Onun alətləri müştərilərə əsas davranış nümunələrini araşdıraraq gizli məlumatları araşdırmağa kömək edir. Xiaomi sözçüsü startapla əlaqəni təsdiqlədi: “Baxmayaraq ki, Sensors Analytics Xiaomi üçün məlumat analitikası həllini təqdim edir, toplanmış anonim məlumatlar Xiaomi-nin öz serverlərində saxlanılır və Sensors Analytics və ya hər hansı digər üçüncü tərəf şirkətləri ilə paylaşılmayacaq.”
Mənbə: 3dnews.ru