Gipagawas sa Reuters ang usa ka artikulo sa pasidaan nga ang higanteng Intsik nga Xiaomi nagrekord sa personal nga datos sa milyon-milyon nga mga tawo bahin sa ilang mga kalihokan sa online ug paggamit sa aparato. "Kini usa ka backdoor sa pag-andar sa usa ka telepono," ingon ni Gabi Cirlig, katunga nga nagbiaybiay, bahin sa iyang bag-ong Xiaomi smartphone.
Kini nga batid nga tigdukiduki sa cybersecurity nakigsulti sa Forbes pagkahuman nahibal-an nga ang iyang Redmi Note 8 nga smartphone nangespiya sa tanan nga iyang gibuhat. Ang kini nga datos gipadala dayon sa mga hilit nga server nga gi-host sa kauban nga Chinese tech nga higante nga Alibaba, nga lagmit giabangan sa Xiaomi.
Nadiskobrehan ni Mr Kirlig nga usa ka makapakurat nga kantidad sa kasayuran bahin sa iyang pamatasan ang gisubay samtang ang lainlaing mga lahi sa datos dungan nga nakolekta gikan sa aparato - ang espesyalista nahadlok nga ang mga detalye sa iyang pagkatawo ug pribadong kinabuhi nahibal-an sa kompanya sa China.
Kung nag-browse siya sa mga website sa default nga browser sa Xiaomi sa aparato, girekord sa ulahi ang tanan nga mga site nga gibisita, lakip ang mga pangutana gikan sa mga search engine, Google man o ang DuckDuckGo nga nakatuon sa privacy, ug ang tanan nga mga butang nga gitan-aw sa feed sa balita sa kabhang sa Xiaomi kay natala usab. Dugang pa, kining tanan nga pagbantay nagtrabaho bisan kung gigamit ang "incognito" mode.
Girekord sa aparato kung unsang mga folder ang giablihan, kung unsang mga screen ang gibalhin, bisan kung kini moabut sa status bar ug panid sa mga setting sa aparato. Ang tanan nga datos gipadala sa mga batch sa hilit nga mga server sa Singapore ug Russia, bisan kung ang mga web domain sa mga server narehistro sa Beijing.
Sa hangyo ni Forbes, laing tigdukiduki sa cybersecurity, si Andrew Tierney, nagpahigayon sa iyang kaugalingong imbestigasyon. Nadiskobrehan usab niya nga ang mga browser nga gihatag sa Xiaomi sa Google Play - Mi Browser Pro ug Mint Browser - nagkolekta sa parehas nga datos. Sumala sa estadistika sa Google Play, dungan nga na-install sila labaw sa 15 milyon ka beses, nagpasabut nga milyon-milyon nga mga aparato ang mahimong maapektuhan.
Ang mga problema, sumala ni G. Kirlig, magamit sa mas daghang gidaghanon sa mga modelo. Nag-download siya sa firmware alang sa ubang mga telepono sa Xiaomi, lakip ang Xiaomi Mi 10, Xiaomi Redmi K20 ug Xiaomi Mi MIX 3, sa wala pa gikumpirma nga naggamit sila usa ka parehas nga browser ug lagmit nag-antos sa parehas nga mga isyu sa pagkapribado.
Adunay usab mga kalisud sa paagi sa pagbalhin sa Xiaomi sa datos sa mga server niini. Bisan kung ang kompanya sa China nag-angkon nga ang datos gi-encrypt, nakita ni Gabi Kirlig nga dali niyang makita kung unsa ang na-download gikan sa iyang aparato tungod kay ang pag-encrypt naggamit sa pinakasimple nga base64 algorithm. Nagkinahanglan lang og pipila ka segundo aron mabag-o ang mga pakete sa datos ngadto sa mabasa nga mga piraso sa impormasyon. Gipasidan-an usab niya: "Ang akong panguna nga gikabalak-an bahin sa pagkapribado mao nga ang datos nga gipadala sa mga hilit nga server dali ra nga nakig-uban sa usa ka piho nga tiggamit."
Agig tubag sa mga nahibal-an sa giingon nga mga eksperto, usa ka tigpamaba sa Xiaomi ang nag-ingon nga ang mga pag-angkon sa panukiduki dili tinuod, ug ang pagkapribado ug seguridad labing hinungdanon, ug ang kompanya hugot nga nagsunod ug hingpit nga nagsunod sa mga lokal nga balaod ug regulasyon bahin sa mga isyu sa privacy sa gumagamit. . Apan gikumpirma sa tigpamaba nga ang data sa pag-browse gikolekta, nga giingon nga ang kasayuran wala mailhi ug wala gihigot sa bisan kinsa nga indibidwal, ug ang mga tiggamit miuyon sa ingon nga pagsubay.
Apan sama sa gipunting ni Gabi Kirlig ug Andrew Tierney, dili lang impormasyon bahin sa mga website nga gibisita o pagpangita sa Internet ang gipadala sa server: Gikolekta usab ni Xiaomi ang datos bahin sa telepono, lakip ang talagsaon nga mga numero aron mahibal-an ang usa ka piho nga aparato ug bersyon sa Android. Ang ingon nga metadata dali nga madugtong sa tinuud nga tawo sa luyo sa screen kung gusto.
Gisalikway usab sa usa ka tigpamaba sa Xiaomi ang mga pag-angkon nga ang data sa pag-browse girekord sa mode nga incognito. Bisan pa, nakit-an sa mga tigdukiduki sa seguridad sa ilang independente nga mga pagsulay nga ang ilang online nga pamatasan nagpadala mga mensahe sa mga hilit nga server bisan unsa pa ang mode nga gipadagan sa browser, nga naghatag mga litrato ug video ingon ebidensya.
Sa diha nga ang Forbes nga mga peryodista naghatag sa Xiaomi og usa ka video nga nagpakita kung giunsa ang mga pagpangita sa Google ug mga pagbisita sa website gipadala ngadto sa hilit nga mga server bisan sa incognito mode, ang usa ka tigpamaba sa kompanya nagpadayon sa paglimud nga ang impormasyon girekord: "Kini nga video nagpakita sa koleksyon sa wala mailhi nga pag-browse sa datos, nga mao ang usa sa labing kasagaran nga mga desisyon nga gihimo sa mga kompanya sa Internet aron mapaayo ang kinatibuk-ang kasinatian sa pag-browse pinaagi sa pag-analisar sa dili personal nga mailhan nga impormasyon."
Bisan pa, ang mga eksperto sa seguridad nagtuo nga ang pamatasan sa browser sa Xiaomi labi ka agresibo kaysa sa ubang mga sikat nga browser sama sa Google Chrome o Apple Safari: ang ulahi wala magrekord sa pamatasan sa browser, lakip ang mga URL, nga walaβy klaro nga pagtugot sa tiggamit ug sa pribado nga paagi sa pag-browse.
Dugang pa, sa iyang panukiduki, nadiskobrehan ni G. Kirlig nga ang music player nga na-pre-install sa Xiaomi smartphones nagkolekta og impormasyon mahitungod sa mga batasan sa pagpaminaw: unsang mga kanta ang gipatokar ug kanus-a.
Nagduda usab si Gabi Kirlig nga gimonitor ni Xiaomi ang paggamit sa software tungod kay sa matag pag-abli niya sa mga app, gamay nga kasayuran ang ipadala sa usa ka hilit nga server. Laing wala mailhi nga tigdukiduki nga gikutlo sa Forbes miingon nga girekord usab niya kung giunsa ang mga telepono sa kompanya sa China nagkolekta parehas nga datos. Walaβy komento si Xiaomi bahin niini nga butang.
Ang datos gikataho nga ipadala sa kompanya sa analytics sa China nga Sensors Analytics (nailhan usab nga Sensors Data), nga gitukod kaniadtong 2015 ug nakigbahin sa lawom nga pagtuki sa pamatasan sa gumagamit ug paghatag serbisyo sa propesyonal nga pagkonsulta. Ang mga himan niini makatabang sa mga kliyente sa pagsuhid sa mga tinago nga datos pinaagi sa pagsusi sa mga nag-unang sumbanan sa pamatasan. Gikumpirma sa usa ka tigpamaba sa Xiaomi ang koneksyon sa pagsugod: "Bisan kung ang Sensors Analytics naghatag usa ka solusyon sa data analytics alang sa Xiaomi, ang nakolekta nga wala mailhi nga datos gitipigan sa kaugalingon nga mga server sa Xiaomi ug dili ipaambit sa Sensors Analytics o bisan unsang ubang mga kompanya sa ikatulo nga partido."
Source: 3dnews.ru