ProHoster > وبلاگ > اخبار اینترنتی > متخصص امنیت در مورد تلفن های هوشمند شیائومی صحبت می کند: "این یک درب پشتی با عملکردهای تلفن است"

متخصص امنیت در مورد تلفن های هوشمند شیائومی صحبت می کند: "این یک درب پشتی با عملکردهای تلفن است"

رویترز یک مقاله هشدار دهنده منتشر کرده است مبنی بر اینکه غول چینی شیائومی در حال ثبت اطلاعات شخصی میلیون ها نفر در مورد فعالیت های آنلاین و استفاده از دستگاه آنها است. گابی سیرلیگ به شوخی در مورد گوشی هوشمند جدید خود شیائومی گفت: «این یک درب پشتی برای عملکرد یک گوشی است.

متخصص امنیت در مورد تلفن های هوشمند شیائومی صحبت می کند: "این یک درب پشتی با عملکردهای تلفن است"

این محقق باتجربه امنیت سایبری پس از اینکه متوجه شد گوشی هوشمند Redmi Note 8 او همه کارهای او را جاسوسی می کند، با فوربس صحبت کرد. سپس این داده‌ها به سرورهای راه دوری که توسط غول فناوری چینی علی‌بابا میزبانی می‌شد فرستاده شد و احتمالاً توسط شیائومی اجاره شده بود.

آقای کرلیگ متوجه شد که در حالی که انواع مختلفی از داده‌ها به طور همزمان از دستگاه جمع‌آوری می‌شد، حجم نگران‌کننده‌ای از اطلاعات در مورد رفتار او ردیابی می‌شد - متخصص از اینکه جزئیات هویت و زندگی خصوصی او کاملاً برای شرکت چینی شناخته شده بود، وحشت داشت.

هنگامی که او وب‌سایت‌ها را در مرورگر پیش‌فرض شیائومی روی دستگاه مرور می‌کرد، این مرورگر تمام سایت‌های بازدید شده، از جمله پرسش‌های موتورهای جستجو، خواه Google یا DuckDuckGo متمرکز بر حریم خصوصی را ضبط می‌کرد، و همه مواردی که در فید اخبار پوسته شیائومی مشاهده می‌شدند. نیز ثبت شده است. علاوه بر این، تمام این نظارت حتی زمانی که از حالت "ناشناس" استفاده می شد، کار می کرد.

متخصص امنیت در مورد تلفن های هوشمند شیائومی صحبت می کند: "این یک درب پشتی با عملکردهای تلفن است"

دستگاه ضبط می‌کرد که کدام پوشه‌ها باز می‌شوند، کدام صفحه‌ها تغییر می‌کنند، حتی وقتی نوبت به نوار وضعیت و صفحه تنظیمات دستگاه می‌رسد. همه داده ها به صورت دسته ای به سرورهای راه دور در سنگاپور و روسیه ارسال شد، اگرچه دامنه وب سرورها در پکن ثبت شده بود.

به درخواست فوربس، یکی دیگر از محققین امنیت سایبری، اندرو تیرنی، تحقیقات خود را انجام داد. او همچنین کشف کرد که مرورگرهای ارائه شده توسط شیائومی در Google Play - Mi Browser Pro و Mint Browser - همان داده ها را جمع آوری می کنند. طبق آمار گوگل پلی، روی هم بیش از 15 میلیون بار نصب شده اند، یعنی میلیون ها دستگاه ممکن است تحت تاثیر قرار بگیرند.

به گفته آقای کرلیگ، این مشکلات در مورد تعداد بسیار بیشتری از مدل ها صدق می کند. او قبل از تأیید اینکه آنها از یک مرورگر یکسان استفاده می کنند و احتمالاً از همان مشکلات حریم خصوصی رنج می برند، سیستم عامل سایر تلفن های شیائومی از جمله شیائومی می 10، شیائومی ردمی K20 و شیائومی می میکس 3 را دانلود کرده است.

همچنین به نظر می رسد مشکلاتی در نحوه انتقال داده ها به سرورهای شیائومی وجود دارد. اگرچه شرکت چینی ادعا می‌کند که داده‌ها رمزگذاری شده‌اند، گابی کرلیگ دریافت که می‌تواند به سرعت آنچه را که از دستگاهش دانلود شده است ببیند زیرا رمزگذاری از ساده‌ترین الگوریتم base64 استفاده می‌کند. تبدیل بسته های داده به اطلاعات قابل خواندن فقط چند ثانیه طول کشید. وی همچنین هشدار داد: نگرانی اصلی من در خصوص حفظ حریم خصوصی این است که داده های ارسال شده به سرورهای راه دور به راحتی با یک کاربر خاص مرتبط شود.

متخصص امنیت در مورد تلفن های هوشمند شیائومی صحبت می کند: "این یک درب پشتی با عملکردهای تلفن است"

در پاسخ به یافته های کارشناسان مذکور، سخنگوی شیائومی گفت که ادعاهای تحقیق صحت ندارد و حفظ حریم خصوصی و امنیت از اهمیت بالایی برخوردار است و این شرکت به شدت به قوانین و مقررات محلی در خصوص مسائل مربوط به حریم خصوصی کاربران پایبند بوده و کاملاً مطابق با آن است. . اما سخنگوی تایید کرد که داده‌های مرور در حال جمع‌آوری است و گفت این اطلاعات ناشناس است و به هیچ فردی مرتبط نیست و کاربران با چنین ردیابی موافقت می‌کنند.

اما همانطور که گابی کرلیگ و اندرو تیرنی اشاره می‌کنند، فقط اطلاعات مربوط به وب‌سایت‌های بازدید شده یا جستجوهای اینترنتی نبود که به سرور ارسال می‌شد: شیائومی همچنین داده‌های مربوط به تلفن، از جمله شماره‌های منحصربه‌فرد را برای شناسایی دستگاه و نسخه خاص اندروید جمع‌آوری کرد. در صورت تمایل، چنین ابرداده ای را می توان به راحتی با شخص واقعی پشت صفحه نمایش مرتبط کرد.

سخنگوی شیائومی همچنین ادعاهایی مبنی بر اینکه داده های مرور در حالت ناشناس ثبت می شوند را رد کرد. با این حال، محققان امنیتی در آزمایش‌های مستقل خود دریافتند که رفتار آنلاین آنها بدون توجه به حالتی که مرورگر در آن کار می‌کند، پیام‌ها را به سرورهای راه دور ارسال می‌کند و عکس‌ها و ویدیوها را به عنوان مدرک ارائه می‌کند.

هنگامی که روزنامه نگاران فوربس ویدئویی را در اختیار شیائومی قرار دادند که نشان می داد چگونه جستجوهای گوگل و بازدید از وب سایت به سرورهای راه دور حتی در حالت ناشناس ارسال می شوند، سخنگوی شرکت همچنان ضبط این اطلاعات را انکار می کند: "این ویدئو مجموعه داده های مرور ناشناس را نشان می دهد. یکی از رایج ترین تصمیمات شرکت های اینترنتی برای بهبود تجربه کلی مرور با تجزیه و تحلیل اطلاعات غیرشخصی است."

با این حال، کارشناسان امنیتی معتقدند که رفتار مرورگر شیائومی بسیار تهاجمی‌تر از سایر مرورگرهای محبوب مانند Google Chrome یا Apple Safari است: مرورگرهای اخیر بدون رضایت صریح کاربر و در حالت مرور خصوصی، رفتار مرورگر از جمله URL‌ها را ثبت نمی‌کنند.

علاوه بر این، در تحقیقات خود، آقای Kirlig متوجه شد که پخش کننده موسیقی از پیش نصب شده در تلفن های هوشمند شیائومی اطلاعاتی در مورد عادات گوش دادن جمع آوری می کند: کدام آهنگ ها و چه زمانی پخش می شوند.

گابی کرلیگ همچنین مشکوک است که شیائومی بر استفاده از نرم افزار نظارت دارد زیرا هر بار که برنامه ها را باز می کند، مقدار کمی اطلاعات به یک سرور راه دور ارسال می شود. محقق ناشناس دیگری که فوربس به آن اشاره کرده است، گفت که او همچنین نحوه جمع‌آوری داده‌های مشابه توسط تلفن‌های این شرکت چینی را ضبط کرده است. شیائومی در این مورد اظهار نظری نکرده است.

گزارش شده است که این داده ها به شرکت تجزیه و تحلیل چینی Sensors Analytics (همچنین به عنوان Sensors Data) ارسال می شود که در سال 2015 تاسیس شد و در تجزیه و تحلیل عمیق رفتار کاربر و ارائه خدمات مشاوره حرفه ای مشغول است. ابزارهای آن به مشتریان کمک می کند تا با بررسی الگوهای رفتاری کلیدی، داده های پنهان را کشف کنند. یکی از سخنگویان شیائومی ارتباط با این استارت‌آپ را تایید کرد: «اگرچه Sensors Analytics یک راه‌حل تجزیه و تحلیل داده برای شیائومی ارائه می‌کند، داده‌های ناشناس جمع‌آوری‌شده در سرورهای خود شیائومی ذخیره می‌شوند و با Sensors Analytics یا شرکت‌های شخص ثالث دیگر به اشتراک گذاشته نمی‌شوند.»



منبع: 3dnews.ru

اضافه کردن نظر