Выданне Reuters выпусціла артыкул-папярэджанне адносна таго, што кітайскі гігант Xiaomi запісвае асабістыя дадзеныя мільёнаў людзей аб іх актыўнасцях у Сеткі, а таксама аб выкарыстанні прылады. "Гэта бэкдор з функцыянальнасцю тэлефона", – заявіў паўжартам Габі Кірліг (Gabi Cirlig) аб сваім новым смартфоне Xiaomi.
Гэты дасведчаны даследнік у вобласці кібербяспекі пагаварыў з журналістамі Forbes пасля таго, як выявіў, што яго смартфон Redmi Note 8 сочыць за ўсім, што ён робіць. Гэтыя дадзеныя затым адпраўляліся на выдаленыя серверы, размешчаныя ў іншага кітайскага тэхналагічнага гіганта Alibaba, якія, верагодна, арандуе Xiaomi.
Спадар Кірліг выявіў, што адсочваліся трывожныя аб'ёмы звестак аб яго паводзінах, у той час як адначасова збіраліся розныя віды дадзеных з прылады – спецыяліст быў напалоханы тым, што звесткі аб яго асобе і прыватным жыцці былі цалкам вядомыя кітайскай кампаніі.
Калі ён перачытваў вэб-сайты ў браўзэры Xiaomi, усталяваным па змаўчанні на прыладзе, апошні запісваў усе наведаныя сайты, уключаючы запыты пошукавых сістэм, няхай гэта будзе Google або арыентаваная на канфідэнцыяльнасць DuckDuckGo, таксама запісваліся ўсе элементы, якія праглядаліся ў навіннай стужцы абалонкі. Прычым усё гэтае сачэнне працавала нават калі выкарыстоўваўся рэжым «інкогніта».
Прылада запісвала, якія тэчкі адчыняюцца, якія экраны перамыкаюцца, нават калі гаворка ідзе аб радку стану і старонцы налад апарата. Усе дадзеныя адпраўляліся пакетна на выдаленыя серверы ў Сінгапуры і Расіі, хоць вэб-дамены сервераў былі зарэгістраваны ў Пекіне.
Па просьбе Forbes іншы даследчык кібербяспекі Эндру Цірні (Andrew Tierney) правёў уласнае расследаванне. Ён таксама выявіў, што браўзэры, якія пастаўляюцца Xiaomi у Google Play, – Mi Browser Pro і Mint Browser – збіраюць адны і тыя ж дадзеныя. Паводле статыстыкі Google Play, разам яны былі ўсталяваныя больш за 15 мільёнаў разоў, гэта значыць закрануты могуць быць мільёны прылад.
Праблемы, як лічыць спадар Кірліг, адносяцца да значна большай колькасці мадэляў. Ён загрузіў прашыўкі для іншых тэлефонаў Xiaomi, у тым ліку Xiaomi Mi 10, Xiaomi Redmi K20 і Xiaomi Mi MIX 3, пасля чаго пацвердзіў, што яны выкарыстоўваюць ідэнтычны браўзэр і, верагодна, адрозніваюцца тымі ж праблемамі з канфідэнцыяльнасцю.
Падобна, узнікаюць складанасці і з тым, як Xiaomi перадае дадзеныя на свае серверы. Хоць кітайская кампанія сцвярджае, што дадзеныя шыфруюцца, Габі Кірліг выявіў, што можа хутка ўбачыць тое, што было загружана з яго прылады, таму што для шыфравання выкарыстоўваецца найпросты алгарытм base64. Запатрабавалася ўсяго некалькі секунд, каб пераўтварыць пакеты дадзеных у чытэльныя фрагменты інфармацыі. Таксама ён папярэдзіў: "Мая галоўная асцярога адносна прыватнасці заключаецца ў тым, што дадзеныя, якія адпраўляюцца на выдаленыя серверы, вельмі лёгка суадносяцца з канкрэтным карыстальнікам".
У адказ на высновы паказаных адмыслоўцаў прадстаўнік Xiaomi паведаміў, што заявы аб даследаваннях не адпавядаюць рэчаіснасці, а канфідэнцыяльнасць і бяспека маюць першараднае значэнне, пры гэтым кампанія строга выконвае і цалкам адпавядае мясцовым законам і нормам у стаўленні пытанняў асабістых дадзеных карыстачоў. Але прадстаўнік пры гэтым пацвердзіў, што дадзеныя аб праглядах збіраюцца, сцвярджаючы, што інфармацыя ананімная і не прывязана да якой-небудзь асобы, а карыстачы даюць згоду на такое адсочванне.
Але, як адзначаюць Габі Кірліг і Эндру Цірні, на сервер адпраўляліся звесткі не толькі аб наведаных вэб-сайтах або пошуку ў Інтэрнэце: Xiaomi таксама збірае дадзеныя аб тэлефоне, у тым ліку ўнікальныя нумары для ідэнтыфікацыі канкрэтнай прылады і версіі Android. Такія метададзеныя можна пры жаданні лёгка суаднесці з рэальным чалавекам за экранам.
Прадстаўнік Xiaomi таксама адпрэчыў сцвярджэнні, што дадзеныя аб праглядах запісваюцца ў рэжыме інкогніта. Аднак адмыслоўцы па бяспецы ў сваіх незалежных тэстах выявілі, што іх паводзіны ў Сеткі адпраўляе на выдаленыя серверы незалежна ад таго, у якім рэжыме працуе браўзэр, падаўшы як фатаграфіі, так і відэа ў якасці доказу.
Калі журналісты Forbes падалі Xiaomi з відэа, у якім паказана, як пошук у Google і наведванне сайтаў адпраўляліся на выдаленыя серверы нават у рэжыме інкогніта, прадстаўнік кампаніі працягнуў адмаўляць, што інфармацыя запісваецца: «Гэтае відэа дэманструе збор ананімных дадзеных аб праглядах, што з'яўляецца адным з найбольш распаўсюджаных рашэнняў, прынятых інтэрнэт-кампаніямі для паляпшэння агульнага асяроддзя ў браўзэры праз аналіз інфармацыі, якая не ідэнтыфікуе асобу».
Аднак адмыслоўцы па бяспецы лічаць, што паводзіны браўзэра Xiaomi куды больш больш агрэсіўныя, чым іншых папулярных браўзэраў накшталт Google Chrome або Apple Safari: апошнія не запісваюць паводзіны браўзэра, уключаючы URL-адрасы, без відавочнай згоды карыстача і ў рэжыме прыватнага прагляду.
Акрамя таго, у сваім даследаванні спадар Кірліг выявіў, што прадусталяваны на смартфоны Xiaomi музычны прайгравальнік збірае інфармацыю аб звычках праслухоўвання: якія песні ўзнаўляюцца і калі.
Габі Кірліг таксама падазрае, што Xiaomi сочыць за выкарыстаннем ПЗ, паколькі кожны раз, калі ён адкрывае прыкладанні, невялікая інфармацыя адпраўляецца на выдалены сервер. Іншы ананімны даследнік, на якога спасылаецца Forbes, заявіў, што таксама рэгістраваў, як тэлефоны кітайскай кампаніі збіраюць падобныя дадзеныя. Xiaomi не дала каментароў з гэтай нагоды.
Паведамляецца, што дадзеныя адпраўляюцца кітайскай аналітычнай кампаніі Sensors Analytics (таксама вядомая як Sensors Data), якая была заснавана ў 2015 годзе і займаецца глыбокім аналізам паводзін карыстальнікаў і прадастаўленнем прафесійных кансультацыйных паслуг. Яе прылады дапамагаюць кліентам даследаваць утоеныя дадзеныя з дапамогай вывучэння ключавых мадэляў паводзін. Прадстаўнік Xiaomi пацвердзіў сувязь са стартапам: "Хоць Sensors Analytics дае рашэнне для аналізу дадзеных для Xiaomi, сабраныя ананімныя дадзеныя захоўваюцца на ўласных серверах Xiaomi і не будуць перададзены Sensors Analytics або любым іншым іншым кампаніям".
Крыніца: 3dnews.ru