Reuters ha publicat un article d'advertència que el gegant xinès Xiaomi està enregistrant les dades personals de milions de persones sobre les seves activitats en línia i l'ús del dispositiu. "Aquesta és una porta del darrere per a la funcionalitat d'un telèfon", va dir Gabi Cirlig, mig en broma, sobre el seu nou telèfon intel·ligent Xiaomi.
Aquest experimentat investigador de ciberseguretat va parlar amb Forbes després de descobrir que el seu telèfon intel·ligent Redmi Note 8 estava espiant tot el que feia. Aquestes dades es van enviar a servidors remots allotjats pel gegant tecnològic xinès Alibaba, que probablement van ser llogats per Xiaomi.
Kirlig va descobrir que es feia un seguiment d'una quantitat alarmant d'informació sobre el seu comportament mentre es recollien simultàniament diversos tipus de dades del dispositiu; l'especialista es va horroritzar perquè l'empresa xinesa coneixia completament els detalls de la seva identitat i la seva vida privada.
Quan va navegar per llocs web al navegador Xiaomi predeterminat del dispositiu, aquest va registrar tots els llocs visitats, incloses les consultes dels motors de cerca, ja fos Google o el DuckDuckGo centrat en la privadesa, i tots els elements visualitzats al canal de notícies del shell de Xiaomi eren també gravat. A més, tota aquesta vigilància funcionava fins i tot quan s'utilitzava el mode "d'incògnit".
El dispositiu va registrar quines carpetes es van obrir, quines pantalles es van canviar, fins i tot quan es tractava de la barra d'estat i la pàgina de configuració del dispositiu. Totes les dades es van enviar per lots a servidors remots a Singapur i Rússia, tot i que els dominis web dels servidors estaven registrats a Pequín.
A petició de Forbes, un altre investigador de ciberseguretat, Andrew Tierney, va dur a terme la seva pròpia investigació. També va descobrir que els navegadors subministrats per Xiaomi a Google Play - Mi Browser Pro i Mint Browser - recullen les mateixes dades. Segons les estadístiques de Google Play, junts s'han instal·lat més de 15 milions de vegades, la qual cosa significa que milions de dispositius es podrien veure afectats.
Els problemes, segons Kirlig, s'apliquen a un nombre molt més gran de models. Va descarregar el firmware per a altres telèfons Xiaomi, inclosos el Xiaomi Mi 10, el Xiaomi Redmi K20 i el Xiaomi Mi MIX 3, abans de confirmar que utilitzen un navegador idèntic i probablement pateixen els mateixos problemes de privadesa.
També sembla que hi ha dificultats amb la manera com Xiaomi transfereix dades als seus servidors. Tot i que l'empresa xinesa afirma que les dades estan xifrades, Gabi Kirlig va trobar que podia veure ràpidament el que es baixava del seu dispositiu perquè el xifratge utilitza l'algoritme base64 més senzill. Només van trigar uns segons a convertir els paquets de dades en informació llegible. També va advertir: "La meva principal preocupació pel que fa a la privadesa és que les dades enviades a servidors remots s'associen molt fàcilment amb un usuari concret".
En resposta a les conclusions dels experts esmentats, un portaveu de Xiaomi va dir que les afirmacions de la investigació no són certes i que la privadesa i la seguretat són de cabdal importància, i l'empresa s'adhereix estrictament i compleix plenament les lleis i regulacions locals sobre problemes de privadesa dels usuaris. . Però el portaveu va confirmar que s'estan recopilant dades de navegació, dient que la informació és anònima i no està vinculada a cap individu, i els usuaris donen el seu consentiment a aquest seguiment.
Però, com assenyalen Gabi Kirlig i Andrew Tierney, no només s'enviava informació sobre llocs web visitats o cerques a Internet al servidor: Xiaomi també recopilava dades sobre el telèfon, inclosos números únics per identificar un dispositiu i una versió d'Android específics. Aquestes metadades es poden correlacionar fàcilment amb la persona real darrere de la pantalla si es desitja.
Un portaveu de Xiaomi també va rebutjar les afirmacions que les dades de navegació s'estan gravant en mode d'incògnit. Tanmateix, els investigadors de seguretat van trobar en les seves proves independents que el seu comportament en línia envia missatges a servidors remots independentment del mode en què s'executa el navegador, proporcionant tant fotos com vídeos com a prova.
Quan els periodistes de Forbes van proporcionar a Xiaomi un vídeo que mostrava com s'enviaven les cerques de Google i les visites al lloc web a servidors remots fins i tot en mode d'incògnit, un portaveu de l'empresa va continuar negant que s'estava gravant la informació: "Aquest vídeo demostra la recollida de dades de navegació anònimes, que és una de les decisions més habituals que prenen les empreses d'Internet per millorar l'experiència general de navegació mitjançant l'anàlisi d'informació no identificable personalment".
Tanmateix, els experts en seguretat creuen que el comportament del navegador Xiaomi és molt més agressiu que altres navegadors populars com Google Chrome o Apple Safari: aquests últims no registren el comportament del navegador, inclosos els URL, sense el consentiment explícit de l'usuari i en mode de navegació privada.
A més, en la seva investigació, el Sr. Kirlig va descobrir que el reproductor de música preinstal·lat als telèfons intel·ligents Xiaomi recull informació sobre els hàbits d'escolta: quines cançons es reprodueixen i quan.
Gabi Kirlig també sospita que Xiaomi està supervisant l'ús del programari perquè cada vegada que obre aplicacions, s'envia una petita quantitat d'informació a un servidor remot. Un altre investigador anònim citat per Forbes va dir que també va registrar com els telèfons de la companyia xinesa recopilaven dades similars. Xiaomi no va fer cap comentari sobre aquest tema.
S'informa que les dades s'envien a l'empresa d'anàlisi xinesa Sensors Analytics (també coneguda com a Sensors Data), que es va fundar el 2015 i es dedica a una anàlisi en profunditat del comportament dels usuaris i a la prestació de serveis de consultoria professionals. Les seves eines ajuden els clients a explorar dades ocultes mitjançant l'examen de patrons de comportament clau. Un portaveu de Xiaomi va confirmar la connexió amb la startup: "Tot i que Sensors Analytics proporciona una solució d'anàlisi de dades per a Xiaomi, les dades anònimes recollides s'emmagatzemen als propis servidors de Xiaomi i no es compartiran amb Sensors Analytics ni amb cap altra empresa de tercers".
Font: 3dnews.ru