رویترز یک مقاله هشدار دهنده منتشر کرده است مبنی بر اینکه غول چینی شیائومی در حال ثبت اطلاعات شخصی میلیون ها نفر در مورد فعالیت های آنلاین و استفاده از دستگاه آنها است. گابی سیرلیگ به شوخی در مورد گوشی هوشمند جدید خود شیائومی گفت: «این یک درب پشتی برای عملکرد یک گوشی است.
این محقق باتجربه امنیت سایبری پس از اینکه متوجه شد گوشی هوشمند Redmi Note 8 او همه کارهای او را جاسوسی می کند، با فوربس صحبت کرد. سپس این دادهها به سرورهای راه دوری که توسط غول فناوری چینی علیبابا میزبانی میشد فرستاده شد و احتمالاً توسط شیائومی اجاره شده بود.
آقای کرلیگ متوجه شد که در حالی که انواع مختلفی از دادهها به طور همزمان از دستگاه جمعآوری میشد، حجم نگرانکنندهای از اطلاعات در مورد رفتار او ردیابی میشد - متخصص از اینکه جزئیات هویت و زندگی خصوصی او کاملاً برای شرکت چینی شناخته شده بود، وحشت داشت.
هنگامی که او وبسایتها را در مرورگر پیشفرض شیائومی روی دستگاه مرور میکرد، این مرورگر تمام سایتهای بازدید شده، از جمله پرسشهای موتورهای جستجو، خواه Google یا DuckDuckGo متمرکز بر حریم خصوصی را ضبط میکرد، و همه مواردی که در فید اخبار پوسته شیائومی مشاهده میشدند. نیز ثبت شده است. علاوه بر این، تمام این نظارت حتی زمانی که از حالت "ناشناس" استفاده می شد، کار می کرد.
دستگاه ضبط میکرد که کدام پوشهها باز میشوند، کدام صفحهها تغییر میکنند، حتی وقتی نوبت به نوار وضعیت و صفحه تنظیمات دستگاه میرسد. همه داده ها به صورت دسته ای به سرورهای راه دور در سنگاپور و روسیه ارسال شد، اگرچه دامنه وب سرورها در پکن ثبت شده بود.
به درخواست فوربس، یکی دیگر از محققین امنیت سایبری، اندرو تیرنی، تحقیقات خود را انجام داد. او همچنین کشف کرد که مرورگرهای ارائه شده توسط شیائومی در Google Play - Mi Browser Pro و Mint Browser - همان داده ها را جمع آوری می کنند. طبق آمار گوگل پلی، روی هم بیش از 15 میلیون بار نصب شده اند، یعنی میلیون ها دستگاه ممکن است تحت تاثیر قرار بگیرند.
به گفته آقای کرلیگ، این مشکلات در مورد تعداد بسیار بیشتری از مدل ها صدق می کند. او قبل از تأیید اینکه آنها از یک مرورگر یکسان استفاده می کنند و احتمالاً از همان مشکلات حریم خصوصی رنج می برند، سیستم عامل سایر تلفن های شیائومی از جمله شیائومی می 10، شیائومی ردمی K20 و شیائومی می میکس 3 را دانلود کرده است.
همچنین به نظر می رسد مشکلاتی در نحوه انتقال داده ها به سرورهای شیائومی وجود دارد. اگرچه شرکت چینی ادعا میکند که دادهها رمزگذاری شدهاند، گابی کرلیگ دریافت که میتواند به سرعت آنچه را که از دستگاهش دانلود شده است ببیند زیرا رمزگذاری از سادهترین الگوریتم base64 استفاده میکند. تبدیل بسته های داده به اطلاعات قابل خواندن فقط چند ثانیه طول کشید. وی همچنین هشدار داد: نگرانی اصلی من در خصوص حفظ حریم خصوصی این است که داده های ارسال شده به سرورهای راه دور به راحتی با یک کاربر خاص مرتبط شود.
در پاسخ به یافته های کارشناسان مذکور، سخنگوی شیائومی گفت که ادعاهای تحقیق صحت ندارد و حفظ حریم خصوصی و امنیت از اهمیت بالایی برخوردار است و این شرکت به شدت به قوانین و مقررات محلی در خصوص مسائل مربوط به حریم خصوصی کاربران پایبند بوده و کاملاً مطابق با آن است. . اما سخنگوی تایید کرد که دادههای مرور در حال جمعآوری است و گفت این اطلاعات ناشناس است و به هیچ فردی مرتبط نیست و کاربران با چنین ردیابی موافقت میکنند.
اما همانطور که گابی کرلیگ و اندرو تیرنی اشاره میکنند، فقط اطلاعات مربوط به وبسایتهای بازدید شده یا جستجوهای اینترنتی نبود که به سرور ارسال میشد: شیائومی همچنین دادههای مربوط به تلفن، از جمله شمارههای منحصربهفرد را برای شناسایی دستگاه و نسخه خاص اندروید جمعآوری کرد. در صورت تمایل، چنین ابرداده ای را می توان به راحتی با شخص واقعی پشت صفحه نمایش مرتبط کرد.
سخنگوی شیائومی همچنین ادعاهایی مبنی بر اینکه داده های مرور در حالت ناشناس ثبت می شوند را رد کرد. با این حال، محققان امنیتی در آزمایشهای مستقل خود دریافتند که رفتار آنلاین آنها بدون توجه به حالتی که مرورگر در آن کار میکند، پیامها را به سرورهای راه دور ارسال میکند و عکسها و ویدیوها را به عنوان مدرک ارائه میکند.
هنگامی که روزنامه نگاران فوربس ویدئویی را در اختیار شیائومی قرار دادند که نشان می داد چگونه جستجوهای گوگل و بازدید از وب سایت به سرورهای راه دور حتی در حالت ناشناس ارسال می شوند، سخنگوی شرکت همچنان ضبط این اطلاعات را انکار می کند: "این ویدئو مجموعه داده های مرور ناشناس را نشان می دهد. یکی از رایج ترین تصمیمات شرکت های اینترنتی برای بهبود تجربه کلی مرور با تجزیه و تحلیل اطلاعات غیرشخصی است."
با این حال، کارشناسان امنیتی معتقدند که رفتار مرورگر شیائومی بسیار تهاجمیتر از سایر مرورگرهای محبوب مانند Google Chrome یا Apple Safari است: مرورگرهای اخیر بدون رضایت صریح کاربر و در حالت مرور خصوصی، رفتار مرورگر از جمله URLها را ثبت نمیکنند.
علاوه بر این، در تحقیقات خود، آقای Kirlig متوجه شد که پخش کننده موسیقی از پیش نصب شده در تلفن های هوشمند شیائومی اطلاعاتی در مورد عادات گوش دادن جمع آوری می کند: کدام آهنگ ها و چه زمانی پخش می شوند.
گابی کرلیگ همچنین مشکوک است که شیائومی بر استفاده از نرم افزار نظارت دارد زیرا هر بار که برنامه ها را باز می کند، مقدار کمی اطلاعات به یک سرور راه دور ارسال می شود. محقق ناشناس دیگری که فوربس به آن اشاره کرده است، گفت که او همچنین نحوه جمعآوری دادههای مشابه توسط تلفنهای این شرکت چینی را ضبط کرده است. شیائومی در این مورد اظهار نظری نکرده است.
گزارش شده است که این داده ها به شرکت تجزیه و تحلیل چینی Sensors Analytics (همچنین به عنوان Sensors Data) ارسال می شود که در سال 2015 تاسیس شد و در تجزیه و تحلیل عمیق رفتار کاربر و ارائه خدمات مشاوره حرفه ای مشغول است. ابزارهای آن به مشتریان کمک می کند تا با بررسی الگوهای رفتاری کلیدی، داده های پنهان را کشف کنند. یکی از سخنگویان شیائومی ارتباط با این استارتآپ را تایید کرد: «اگرچه Sensors Analytics یک راهحل تجزیه و تحلیل داده برای شیائومی ارائه میکند، دادههای ناشناس جمعآوریشده در سرورهای خود شیائومی ذخیره میشوند و با Sensors Analytics یا شرکتهای شخص ثالث دیگر به اشتراک گذاشته نمیشوند.»
منبع: 3dnews.ru