Agentura Reuters vydala varovný článek, že čínský gigant Xiaomi zaznamenává osobní údaje milionů lidí o jejich online aktivitách a používání zařízení. „Je to zadní vrátka k funkčnosti telefonu,“ řekl Gabi Cirlig napůl žertem o svém novém smartphonu Xiaomi.
Tento zkušený výzkumník v oblasti kybernetické bezpečnosti promluvil s Forbesem poté, co zjistil, že jeho smartphone Redmi Note 8 špehoval vše, co dělal. Tato data byla poté odeslána na vzdálené servery hostované čínským technologickým gigantem Alibaba, které si pravděpodobně pronajala Xiaomi.
Pan Kirlig zjistil, že bylo sledováno alarmující množství informací o jeho chování, zatímco byly ze zařízení současně shromažďovány různé typy dat – specialista byl zděšen, že podrobnosti o jeho identitě a soukromém životě byly čínské společnosti plně známy.
Když procházel webové stránky ve výchozím prohlížeči Xiaomi na zařízení, tento zaznamenal všechny navštívené stránky, včetně dotazů z vyhledávačů, ať už to byl Google nebo DuckDuckGo zaměřený na soukromí, a všechny položky zobrazené ve zpravodajském kanálu Xiaomi shell byly také zaznamenáno. Navíc celý tento dohled fungoval i při použití režimu „anonymní“.
Zařízení zaznamenávalo, které složky byly otevřeny, které obrazovky byly přepnuty, i když došlo na stavový řádek a stránku nastavení zařízení. Všechna data byla odesílána v dávkách na vzdálené servery v Singapuru a Rusku, ačkoli webové domény serverů byly registrovány v Pekingu.
Na žádost Forbesu provedl další výzkumník v oblasti kybernetické bezpečnosti Andrew Tierney vlastní vyšetřování. Zjistil také, že prohlížeče dodávané Xiaomi na Google Play – Mi Browser Pro a Mint Browser – shromažďují stejná data. Podle statistik Google Play byly dohromady nainstalovány více než 15 milionůkrát, což znamená, že mohou být ovlivněny miliony zařízení.
Problémy se podle pana Kirliga týkají mnohem většího počtu modelů. Stáhl si firmware pro další telefony Xiaomi, včetně Xiaomi Mi 10, Xiaomi Redmi K20 a Xiaomi Mi MIX 3, než potvrdil, že používají identický prohlížeč a pravděpodobně trpí stejnými problémy s ochranou soukromí.
Zdá se také, že existují potíže se způsobem, jakým Xiaomi přenáší data na své servery. Ačkoli čínská společnost tvrdí, že data jsou šifrována, Gabi Kirlig zjistil, že rychle viděl, co bylo staženo z jeho zařízení, protože šifrování používá nejjednodušší algoritmus base64. Převést datové pakety na čitelné informace trvalo jen několik sekund. Varoval také: "Mým hlavním problémem ohledně soukromí je to, že data odesílaná na vzdálené servery lze velmi snadno přiřadit ke konkrétnímu uživateli."
V reakci na zjištění zmíněných odborníků mluvčí Xiaomi uvedl, že tvrzení výzkumu nejsou pravdivá a soukromí a bezpečnost jsou nanejvýš důležité a společnost přísně dodržuje a plně dodržuje místní zákony a předpisy týkající se ochrany soukromí uživatelů. . Mluvčí však potvrdil, že údaje o prohlížení se shromažďují, přičemž uvedl, že informace jsou anonymní a nejsou vázány na žádnou osobu a uživatelé s takovým sledováním souhlasí.
Jak ale zdůrazňují Gabi Kirlig a Andrew Tierney, na server nebyly odesílány pouze informace o navštívených webových stránkách nebo vyhledávání na internetu: Xiaomi také shromažďovalo údaje o telefonu, včetně jedinečných čísel k identifikaci konkrétního zařízení a verze Androidu. Tato metadata lze v případě potřeby snadno korelovat se skutečnou osobou za obrazovkou.
Mluvčí Xiaomi také odmítl tvrzení, že údaje o prohlížení jsou zaznamenávány v režimu inkognito. Bezpečnostní výzkumníci však ve svých nezávislých testech zjistili, že jejich online chování odesílá zprávy na vzdálené servery bez ohledu na to, v jakém režimu prohlížeč běží, přičemž jako důkaz poskytují fotografie i videa.
Když novináři Forbes poskytli Xiaomi video ukazující, jak byly vyhledávání Google a návštěvy webových stránek odesílány na vzdálené servery i v režimu inkognito, mluvčí společnosti nadále popíral, že by informace byly nahrávány: „Toto video demonstruje shromažďování anonymních dat o prohlížení, která je jedním z nejčastějších rozhodnutí internetových společností s cílem zlepšit celkový zážitek z procházení analyzováním informací, které neumožňují zjištění totožnosti."
Bezpečnostní experti se však domnívají, že chování prohlížeče Xiaomi je mnohem agresivnější než jiné populární prohlížeče jako Google Chrome nebo Apple Safari: ty druhé nezaznamenávají chování prohlížeče, včetně adres URL, bez výslovného souhlasu uživatele a v režimu soukromého prohlížení.
Kromě toho ve svém výzkumu pan Kirlig zjistil, že hudební přehrávač předinstalovaný v chytrých telefonech Xiaomi shromažďuje informace o zvyklostech při poslechu: které skladby se hrají a kdy.
Gabi Kirlig má také podezření, že Xiaomi sleduje používání softwaru, protože pokaždé, když otevře aplikace, je na vzdálený server odesláno malé množství informací. Jiný anonymní výzkumník citovaný Forbesem uvedl, že také zaznamenal, jak telefony čínské společnosti sbíraly podobná data. Xiaomi se k této záležitosti nevyjádřilo.
Údaje se údajně zasílají čínské analytické společnosti Sensors Analytics (také známé jako Sensors Data), která byla založena v roce 2015 a zabývá se hloubkovou analýzou chování uživatelů a poskytováním profesionálních konzultačních služeb. Jeho nástroje pomáhají klientům prozkoumat skrytá data zkoumáním klíčových vzorců chování. Mluvčí Xiaomi potvrdil spojení se startupem: „Ačkoli Sensors Analytics poskytuje řešení pro analýzu dat pro Xiaomi, shromážděná anonymní data jsou uložena na vlastních serverech Xiaomi a nebudou sdílena se Sensors Analytics ani jinými společnostmi třetích stran.“
Zdroj: 3dnews.ru