Reuters a publié un article d'avertissement selon lequel le géant chinois Xiaomi enregistre les données personnelles de millions de personnes concernant leurs activités en ligne et l'utilisation de leurs appareils. "C'est une porte dérobée vers les fonctionnalités d'un téléphone", a déclaré Gabi Cirlig, en plaisantant à moitié, à propos de son nouveau smartphone Xiaomi.
Ce chercheur chevronné en cybersécurité s'est entretenu avec Forbes après avoir découvert que son smartphone Redmi Note 8 espionnait tout ce qu'il faisait. Ces données ont ensuite été envoyées à des serveurs distants hébergés par le géant chinois de la technologie Alibaba, probablement loués par Xiaomi.
M. Kirlig a découvert qu'une quantité alarmante d'informations sur son comportement était suivie tandis que différents types de données étaient simultanément collectées à partir de l'appareil - le spécialiste était horrifié que les détails de son identité et de sa vie privée soient entièrement connus de l'entreprise chinoise.
Lorsqu'il parcourait des sites Web dans le navigateur Xiaomi par défaut de l'appareil, ce dernier enregistrait tous les sites visités, y compris les requêtes des moteurs de recherche, qu'il s'agisse de Google ou de DuckDuckGo, axé sur la confidentialité, et tous les éléments consultés dans le fil d'actualité du shell Xiaomi étaient également enregistré. De plus, toute cette surveillance a fonctionné même lorsque le mode « incognito » était utilisé.
L'appareil enregistrait quels dossiers étaient ouverts, quels écrans étaient changés, même en ce qui concerne la barre d'état et la page des paramètres de l'appareil. Toutes les données ont été envoyées par lots à des serveurs distants à Singapour et en Russie, bien que les domaines Web des serveurs aient été enregistrés à Pékin.
À la demande de Forbes, un autre chercheur en cybersécurité, Andrew Tierney, a mené sa propre enquête. Il a également découvert que les navigateurs fournis par Xiaomi sur Google Play – Mi Browser Pro et Mint Browser – collectent les mêmes données. Selon les statistiques de Google Play, ils ont été installés ensemble plus de 15 millions de fois, ce qui signifie que des millions d'appareils pourraient être concernés.
Les problèmes, selon M. Kirlig, s'appliquent à un nombre beaucoup plus important de modèles. Il a téléchargé le firmware d'autres téléphones Xiaomi, notamment le Xiaomi Mi 10, le Xiaomi Redmi K20 et le Xiaomi Mi MIX 3, avant de confirmer qu'ils utilisent un navigateur identique et souffrent probablement des mêmes problèmes de confidentialité.
Il semble également y avoir des difficultés avec la manière dont Xiaomi transfère les données vers ses serveurs. Bien que la société chinoise affirme que les données sont cryptées, Gabi Kirlig a constaté qu'il pouvait voir rapidement ce qui était téléchargé depuis son appareil car le cryptage utilise l'algorithme base64 le plus simple. Il n’a fallu que quelques secondes pour convertir les paquets de données en informations lisibles. Il a également prévenu : « Ma principale préoccupation concernant la confidentialité est que les données envoyées aux serveurs distants sont très facilement associées à un utilisateur spécifique. »
En réponse aux conclusions desdits experts, un porte-parole de Xiaomi a déclaré que les affirmations de la recherche ne sont pas vraies et que la confidentialité et la sécurité sont d'une importance primordiale, et que la société adhère strictement et se conforme pleinement aux lois et réglementations locales concernant les problèmes de confidentialité des utilisateurs. . Mais le porte-parole a confirmé que des données de navigation sont collectées, affirmant que les informations sont anonymes et ne sont liées à aucun individu, et que les utilisateurs consentent à un tel suivi.
Mais comme le soulignent Gabi Kirlig et Andrew Tierney, ce ne sont pas seulement des informations sur les sites Web visités ou les recherches Internet qui ont été envoyées au serveur : Xiaomi a également collecté des données sur le téléphone, notamment des numéros uniques pour identifier un appareil spécifique et une version d'Android. Ces métadonnées peuvent être facilement corrélées avec la personne réelle derrière l’écran si vous le souhaitez.
Un porte-parole de Xiaomi a également rejeté les allégations selon lesquelles les données de navigation seraient enregistrées en mode navigation privée. Cependant, les chercheurs en sécurité ont découvert lors de leurs tests indépendants que leur comportement en ligne envoie des messages à des serveurs distants, quel que soit le mode d'exécution du navigateur, fournissant des photos et des vidéos comme preuve.
Lorsque les journalistes de Forbes ont fourni à Xiaomi une vidéo montrant comment les recherches Google et les visites de sites Web étaient envoyées à des serveurs distants, même en mode incognito, un porte-parole de l'entreprise a continué à nier que les informations étaient enregistrées : « Cette vidéo démontre la collecte de données de navigation anonymes, qui est l'une des décisions les plus courantes prises par les sociétés Internet pour améliorer l'expérience de navigation globale en analysant des informations non personnellement identifiables.
Cependant, les experts en sécurité estiment que le comportement du navigateur Xiaomi est beaucoup plus agressif que celui d'autres navigateurs populaires comme Google Chrome ou Apple Safari : ces derniers n'enregistrent pas le comportement du navigateur, y compris les URL, sans le consentement explicite de l'utilisateur et en mode de navigation privée.
De plus, dans ses recherches, M. Kirlig a découvert que le lecteur de musique préinstallé sur les smartphones Xiaomi collecte des informations sur les habitudes d'écoute : quelles chansons sont jouées et quand.
Gabi Kirlig soupçonne également Xiaomi de surveiller l'utilisation des logiciels, car chaque fois qu'il ouvre des applications, une petite quantité d'informations est envoyée à un serveur distant. Un autre chercheur anonyme cité par Forbes a déclaré avoir également enregistré la manière dont les téléphones de la société chinoise collectaient des données similaires. Xiaomi n'a pas commenté cette question.
Les données seraient envoyées à la société d'analyse chinoise Sensors Analytics (également connue sous le nom de Sensors Data), fondée en 2015 et engagée dans une analyse approfondie du comportement des utilisateurs et dans la fourniture de services de conseil professionnels. Ses outils aident les clients à explorer les données cachées en examinant les principaux modèles de comportement. Un porte-parole de Xiaomi a confirmé le lien avec la startup : « Bien que Sensors Analytics fournisse une solution d'analyse de données pour Xiaomi, les données anonymes collectées sont stockées sur les propres serveurs de Xiaomi et ne seront pas partagées avec Sensors Analytics ou toute autre société tierce.
Source: 3dnews.ru