Ройтерс публикува предупредителна статия, че китайският гигант Xiaomi записва личните данни на милиони хора за техните онлайн дейности и използване на устройства. „Това е задната врата към функционалността на телефона“, каза полушеговито Габи Чирлиг за новия си смартфон Xiaomi.
Този опитен изследовател на киберсигурността говори с Forbes, след като откри, че неговият смартфон Redmi Note 8 шпионира всичко, което той прави. След това тези данни бяха изпратени до отдалечени сървъри, хоствани от друг китайски технологичен гигант Alibaba, които вероятно са били наети от Xiaomi.
Г-н Кирлиг откри, че тревожно количество информация за поведението му се проследява, докато различни видове данни се събират едновременно от устройството - специалистът беше ужасен, че подробности за неговата самоличност и личен живот са напълно известни на китайската компания.
Когато преглеждаше уебсайтове в браузъра по подразбиране Xiaomi на устройството, последният записваше всички посетени сайтове, включително заявки от търсачките, било то Google или фокусираната върху поверителността DuckDuckGo, и всички елементи, прегледани в новинарската емисия на обвивката на Xiaomi, бяха също записани. Освен това цялото това наблюдение работи дори когато се използва режим „инкогнито“.
Устройството записва кои папки са отворени, кои екрани са превключвани, дори когато става въпрос за лентата на състоянието и страницата с настройки на устройството. Всички данни бяха изпратени на партиди до отдалечени сървъри в Сингапур и Русия, въпреки че уеб домейните на сървърите бяха регистрирани в Пекин.
По искане на Forbes, друг изследовател на киберсигурността, Андрю Тиърни, проведе собствено разследване. Той също така откри, че браузърите, предоставени от Xiaomi в Google Play – Mi Browser Pro и Mint Browser – събират едни и същи данни. Според статистиката на Google Play заедно те са били инсталирани повече от 15 милиона пъти, което означава, че милиони устройства могат да бъдат засегнати.
Проблемите, според г-н Кирлиг, се отнасят за много по-голям брой модели. Той изтегли фърмуер за други телефони Xiaomi, включително Xiaomi Mi 10, Xiaomi Redmi K20 и Xiaomi Mi MIX 3, преди да потвърди, че използват идентичен браузър и вероятно страдат от същите проблеми с поверителността.
Изглежда също има трудности с начина, по който Xiaomi прехвърля данни към своите сървъри. Въпреки че китайската компания твърди, че данните са криптирани, Габи Кирлиг установи, че може бързо да види какво е изтеглено от устройството му, тъй като криптирането използва най-простия алгоритъм base64. Отне само няколко секунди, за да се преобразуват пакетите с данни в четими парчета информация. Той също предупреди: „Основното ми безпокойство по отношение на поверителността е, че данните, изпратени до отдалечени сървъри, се свързват много лесно с конкретен потребител.“
В отговор на констатациите на споменатите експерти, говорител на Xiaomi каза, че твърденията на изследването не са верни и поверителността и сигурността са от първостепенно значение и компанията стриктно спазва и е в пълно съответствие с местните закони и разпоредби по отношение на проблемите с поверителността на потребителите . Но говорителят потвърди, че се събират данни за сърфиране, като каза, че информацията е анонимна и не е обвързана с никое лице, а потребителите се съгласяват с такова проследяване.
Но както посочват Габи Кърлиг и Андрю Тиърни, не само информацията за посетените уебсайтове или търсенията в интернет са били изпращани на сървъра: Xiaomi също е събирала данни за телефона, включително уникални номера за идентифициране на конкретно устройство и версия на Android. Такива метаданни могат лесно да бъдат свързани с реалния човек зад екрана, ако желаете.
Говорител на Xiaomi също отхвърли твърденията, че данните за сърфиране се записват в режим инкогнито. Изследователите по сигурността обаче откриха в своите независими тестове, че тяхното онлайн поведение изпраща съобщения до отдалечени сървъри, независимо от това в какъв режим работи браузърът, предоставяйки както снимки, така и видеоклипове като доказателство.
Когато журналисти от Forbes предоставиха на Xiaomi видео, показващо как търсенията в Google и посещенията на уебсайтове се изпращат до отдалечени сървъри дори в режим инкогнито, говорител на компанията продължи да отрича, че информацията се записва: „Това видео демонстрира събирането на анонимни данни за сърфиране, които е едно от най-честите решения, взети от интернет компаниите за подобряване на цялостното изживяване при сърфиране чрез анализиране на информация, която не позволява идентифициране на личността."
Експертите по сигурността обаче смятат, че поведението на браузъра Xiaomi е много по-агресивно от други популярни браузъри като Google Chrome или Apple Safari: последните не записват поведението на браузъра, включително URL адреси, без изричното съгласие на потребителя и в режим на частно сърфиране.
В допълнение, в своето изследване г-н Kirlig откри, че музикалният плейър, предварително инсталиран на смартфоните Xiaomi, събира информация за навиците за слушане: кои песни се възпроизвеждат и кога.
Габи Кърлиг също подозира, че Xiaomi следи използването на софтуера, защото всеки път, когато отваря приложения, малко количество информация се изпраща до отдалечен сървър. Друг анонимен изследовател, цитиран от Forbes, каза, че също е записал как телефоните на китайската компания събират подобни данни. Xiaomi не коментира този въпрос.
Съобщава се, че данните се изпращат на китайската аналитична компания Sensors Analytics (известна също като Sensors Data), която е основана през 2015 г. и се занимава със задълбочен анализ на поведението на потребителите и предоставя професионални консултантски услуги. Неговите инструменти помагат на клиентите да изследват скрити данни чрез изследване на ключови модели на поведение. Говорител на Xiaomi потвърди връзката със стартъпа: „Въпреки че Sensors Analytics предоставя решение за анализ на данни за Xiaomi, събраните анонимни данни се съхраняват на собствените сървъри на Xiaomi и няма да бъдат споделяни със Sensors Analytics или други компании на трети страни.“
Източник: 3dnews.ru