Reuters hat in warskôgingsartikel útbrocht dat de Sineeske reus Xiaomi de persoanlike gegevens fan miljoenen minsken opnimt oer har online aktiviteiten, lykas har apparaatgebrûk. "It is in efterdoar nei de funksjonaliteit fan in tillefoan," sei Gabi Cirlig, heal grapke, oer syn nije Xiaomi-smartphone.
Dizze betûfte cybersecurity-ûndersiker spruts mei Forbes nei't er ûntduts dat syn Redmi Note 8-smartphone bespionearre op alles wat hy die. Dizze gegevens waarden doe stjoerd nei servers op ôfstân hosted troch oare Sineeske techgigant Alibaba, dy't wierskynlik waarden ferhierd troch Xiaomi.
De hear Kirlig ûntduts dat in alarmearjende hoemannichte ynformaasje oer syn gedrach waard folge wylst ferskate soarten gegevens tagelyk waarden sammele fan it apparaat - de spesjalist wie kjel dat details fan syn identiteit en priveelibben folslein bekend wiene oan it Sineeske bedriuw.
Doe't hy websiden blêdde yn 'e standert Xiaomi-blêder op it apparaat, registrearre de lêste alle besochte siden, ynklusyf fragen fan sykmasines, oft it Google is as de privacy-rjochte DuckDuckGo, en alle items besjoen yn' e nijsfeed fan 'e Xiaomi-shell wiene ek opnommen. Boppedat wurke al dit tafersjoch sels as de "incognito" modus waard brûkt.
It apparaat registrearre hokker mappen waarden iepene, hokker skermen waarden oerskeakele, sels as it gie om de statusbalke en de apparaat ynstellings side. Alle gegevens waarden yn batches stjoerd nei servers op ôfstân yn Singapore en Ruslân, hoewol de webdomeinen fan 'e servers waarden registrearre yn Peking.
Op fersyk fan Forbes die in oare cybersecurity-ûndersiker, Andrew Tierney, syn eigen ûndersyk. Hy ûntduts ek dat de browsers levere troch Xiaomi op Google Play - Mi Browser Pro en Mint Browser - deselde gegevens sammelje. Neffens statistiken fan Google Play binne se tegearre mear dan 15 miljoen kear ynstalleare, wat betsjuttet dat miljoenen apparaten kinne wurde beynfloede.
De problemen jilde neffens de hear Kirlig foar in folle grutter tal modellen. Hy downloadde firmware foar oare Xiaomi-tillefoans, ynklusyf de Xiaomi Mi 10, Xiaomi Redmi K20 en Xiaomi Mi MIX 3, foardat hy befêstige dat se in identike browser brûke en wierskynlik lêst hawwe fan deselde privacyproblemen.
D'r lykje ek swierrichheden te wêzen mei de manier wêrop Xiaomi gegevens oerbringt nei har servers. Hoewol it Sineeske bedriuw beweart dat de gegevens fersifere binne, fûn Gabi Kirlig dat hy fluch sjen koe wat fan syn apparaat ynladen wie, om't de fersifering it ienfâldichste base64-algoritme brûkt. It duorre mar in pear sekonden om de gegevenspakketten te konvertearjen yn lêsbere stikken ynformaasje. Hy warskôge ek: "Myn wichtichste soarch oangeande privacy is dat de gegevens dy't stjoerd binne nei servers op ôfstân tige maklik ferbûn binne mei in spesifike brûker."
Yn reaksje op 'e befinings fan' e neamde saakkundigen sei in wurdfierder fan Xiaomi dat de ûndersyksbewearingen net wier binne, en privacy en feiligens binne fan it grutste belang, en it bedriuw hâldt him strikt oan en is folslein yn oerienstimming mei pleatslike wetten en regeljouwing oangeande problemen mei brûkersprivacy. . Mar de wurdfierder befêstige dat blêdzjen gegevens wurdt sammele, sizzende dat de ynformaasje is anonym en net bûn oan in yndividu, en brûkers tastimming ta sa'n tracking.
Mar lykas Gabi Kirlig en Andrew Tierney oanjaan, wie it net allinich ynformaasje oer besochte websiden of sykaksjes op it ynternet dy't nei de tsjinner waarden stjoerd: Xiaomi sammele ek gegevens oer de tillefoan, ynklusyf unike nûmers om in spesifyk apparaat en ferzje fan Android te identifisearjen. Sokke metadata kinne maklik korrelearre wurde mei de echte persoan efter it skerm as jo wolle.
In wurdfierder fan Xiaomi fersmiet ek bewearingen dat blêdzjegegevens wurde opnaam yn incognito-modus. Feiligensûndersikers fûnen lykwols yn har ûnôfhinklike tests dat har online gedrach berjochten stjoert nei servers op ôfstân, nettsjinsteande hokker modus de browser rint, en leverje sawol foto's as fideo's as bewiis.
Doe't Forbes-sjoernalisten Xiaomi in fideo levere dy't sjen litte hoe't Google-sykopdrachten en websidebesites waarden stjoerd nei servers op ôfstân, sels yn incognito-modus, bleau in wurdfierder fan it bedriuw ûntkenne dat de ynformaasje waard opnommen: "Dizze fideo toant de kolleksje fan anonime blêdzjengegevens, dy't is ien fan 'e meast foarkommende besluten makke troch ynternetbedriuwen om de algemiene blêdzjenûnderfining te ferbetterjen troch net-persoanlik identifisearbere ynformaasje te analysearjen."
Feiligenseksperts leauwe lykwols dat it gedrach fan 'e Xiaomi-blêder folle agressiver is as oare populêre browsers lykas Google Chrome of Apple Safari: de lêste registrearje gjin browsergedrach, ynklusyf URL's, sûnder de eksplisite tastimming fan 'e brûker en yn privee blêdzjen modus.
Derneist ûntdekte de hear Kirlig yn syn ûndersyk dat de muzykspiler foarôf ynstalleare op Xiaomi-smartphones ynformaasje sammelt oer harkgewoanten: hokker ferskes wurde spile en wannear.
Gabi Kirlig fermoedet ek dat Xiaomi it softwaregebrûk kontrolearret, om't elke kear as hy apps iepenet, in lytse hoemannichte ynformaasje wurdt stjoerd nei in tsjinner op ôfstân. In oare anonime ûndersiker oanhelle troch Forbes sei dat hy ek opnaam hoe't de tillefoans fan it Sineeske bedriuw ferlykbere gegevens sammele. Xiaomi hat gjin kommentaar oer dizze saak.
De gegevens wurde rapportearre om te stjoerd nei Sineesk analytysk bedriuw Sensors Analytics (ek wol bekend as Sensors Data), dat waard oprjochte yn 2015 en is dwaande mei yngeande analyze fan brûkersgedrach en it leverjen fan profesjonele konsultaasjetsjinsten. De ark helpt kliïnten ferburgen gegevens te ferkennen troch wichtige gedrachspatroanen te ûndersykjen. In wurdfierder fan Xiaomi befêstige de ferbining mei de opstart: "Hoewol Sensors Analytics in oplossing foar gegevensanalyse leveret foar Xiaomi, wurde de sammele anonime gegevens opslein op Xiaomi's eigen servers en sille net dield wurde mei Sensors Analytics of oare bedriuwen fan tredden."
Boarne: 3dnews.ru