Tá alt rabhaidh eisithe ag Reuters go bhfuil an fathach Síneach Xiaomi ag taifeadadh sonraí pearsanta na milliúin daoine faoina gcuid gníomhaíochtaí ar líne agus úsáid gléasanna. “Is cúldoras é d’fheidhmiúlacht gutháin,” a dúirt Gabi Cirlig, le magadh faoi a ghuthán cliste nua Xiaomi.
Labhair an taighdeoir cybersecurity seo le Forbes tar éis dó a fháil amach go raibh a ghuthán cliste Redmi Note 8 ag spiaireacht ar gach rud a rinne sé. Seoladh na sonraí seo ansin chuig cianfhreastalaithe arna n-óstáil ag an bhfathach teicneolaíochta Síneach eile Alibaba, ar dócha go raibh Xiaomi ar cíos acu.
Fuair an tUasal Kirlig amach go raibh méid scanrúil faisnéise faoina iompar á rianú agus go raibh cineálacha éagsúla sonraí á mbailiú ag an am céanna ón bhfeiste - bhí uafás ar an speisialtóir go raibh sonraí faoina chéannacht agus a shaol príobháideach ar eolas go hiomlán ag an gcuideachta Síneach.
Nuair a bhrabhsáil sé láithreáin ghréasáin sa bhrabhsálaí réamhshocraithe Xiaomi ar an ngléas, thaifead an dara ceann na suíomhanna go léir ar tugadh cuairt orthu, lena n-áirítear fiosrúcháin ó innill chuardaigh, bíodh sé Google nó an DuckDuckGo dírithe ar phríobháideachas, agus bhí gach mír a breathnaíodh i bhfotha nuachta bhlaosc Xiaomi taifeadta freisin. Ina theannta sin, d’oibrigh an faireachas seo go léir fiú nuair a úsáideadh an modh “incognito”.
Thaifead an gléas cé na fillteáin a osclaíodh, cé na scáileáin a aistríodh, fiú nuair a tháinig sé go dtí an barra stádais agus leathanach socruithe an ghléis. Seoladh na sonraí go léir i mbaisceanna chuig cianfhreastalaithe i Singeapór agus sa Rúis, cé go raibh fearainn ghréasáin na bhfreastalaithe cláraithe i mBéising.
Ar iarratas Forbes, rinne taighdeoir cibearshlándála eile, Andrew Tierney, a imscrúdú féin. Fuair sé amach freisin go mbailíonn na brabhsálaithe a sholáthraíonn Xiaomi ar Google Play - Mi Browser Pro agus Mint Browser - na sonraí céanna. De réir staitisticí Google Play, le chéile tá siad suiteáilte níos mó ná 15 milliún uair, rud a chiallaíonn go bhféadfadh tionchar a bheith ag na milliúin feistí.
Baineann na fadhbanna, dar leis an Uasal Kirlig, le líon i bhfad níos mó samhlacha. D’íoslódáil sé firmware le haghaidh fóin Xiaomi eile, lena n-áirítear an Xiaomi Mi 10, Xiaomi Redmi K20 agus Xiaomi Mi MIX 3, sular dheimhnigh sé go n-úsáideann siad brabhsálaí comhionann agus gur dócha go bhfuil na saincheisteanna príobháideachais céanna acu.
Is cosúil go bhfuil deacrachtaí ann freisin leis an mbealach a aistríonn Xiaomi sonraí chuig a fhreastalaithe. Cé go n-éilíonn cuideachta na Síne go bhfuil na sonraí criptithe, d'aimsigh Gabi Kirlig go bhféadfadh sé a fheiceáil go tapa cad a íoslódáladh óna ghléas toisc go n-úsáideann an criptiú an algartam base64 is simplí. Níor thóg sé ach cúpla soicind na paicéid sonraí a thiontú ina bpíosaí faisnéise inléite. Thug sé rabhadh freisin: "Is é an príomhábhar imní atá agam maidir le príobháideacht ná go bhfuil baint an-éasca ag na sonraí a sheoltar chuig cianfhreastalaithe le húsáideoir ar leith."
Mar fhreagra ar thorthaí na saineolaithe sin, dúirt urlabhraí Xiaomi nach bhfuil na héilimh taighde fíor, agus go bhfuil príobháideacht agus slándáil thar a bheith tábhachtach, agus go gcloíonn an chuideachta go docht le dlíthe agus rialacháin áitiúla agus go gcomhlíonann sé go hiomlán iad maidir le saincheisteanna príobháideachta úsáideoirí. . Ach dheimhnigh an t-urlabhraí go bhfuil sonraí brabhsála á mbailiú, ag rá go bhfuil an fhaisnéis gan ainm agus nach bhfuil sé ceangailte le haon duine, agus toiliú úsáideoirí lena leithéid de rianú.
Ach mar a thugann Gabi Kirlig agus Andrew Tierney le fios, ní hamháin faisnéis faoi shuíomhanna gréasáin ar tugadh cuairt orthu nó faoi chuardaigh Idirlín a seoladh chuig an bhfreastalaí: bhailigh Xiaomi sonraí faoin bhfón freisin, lena n-áirítear uimhreacha uathúla chun gléas agus leagan ar leith de Android a aithint. Is féidir meiteashonraí den sórt sin a chomhghaolú go héasca leis an bhfíordhuine ar chúl an scáileáin más mian leis.
Dhiúltaigh urlabhraí Xiaomi freisin d’éilimh go bhfuil sonraí brabhsála á dtaifeadadh i mód incognito. Mar sin féin, fuair taighdeoirí slándála ina dtástálacha neamhspleácha go gcuireann a n-iompraíocht ar líne teachtaireachtaí chuig cianfhreastalaí is cuma cén modh ina bhfuil an brabhsálaí ag rith, ag soláthar grianghraif agus físeáin araon mar fhianaise.
Nuair a chuir iriseoirí Forbes físeán ar fáil do Xiaomi a thaispeánann conas a seoladh cuardaigh Google agus cuairteanna ar shuíomhanna gréasáin chuig freastalaithe cianda fiú i mód anaithnid, lean urlabhraí cuideachta ag séanadh go raibh an fhaisnéis á taifeadadh: “Léiríonn an físeán seo bailiú sonraí brabhsála gan ainm, a ar cheann de na cinntí is coitianta a dhéanann cuideachtaí Idirlín chun an taithí brabhsála foriomlán a fheabhsú trí anailís a dhéanamh ar fhaisnéis nach féidir a aithint go pearsanta."
Mar sin féin, creideann saineolaithe slándála go bhfuil iompar bhrabhsálaí Xiaomi i bhfad níos ionsaithí ná brabhsálaithe tóir eile cosúil le Google Chrome nó Apple Safari: ní dhéanann an dara ceann taifead ar iompar brabhsálaí, lena n-áirítear URLanna, gan toiliú sainráite an úsáideora agus i mód brabhsála príobháideach.
Ina theannta sin, ina chuid taighde, fuair an tUasal Kirlig amach go mbailíonn an seinnteoir ceoil atá réamhshuiteáilte ar fhóin chliste Xiaomi faisnéis faoi nósanna éisteachta: cé na hamhráin a sheinntear agus cathain.
Tá amhras ar Gabi Kirlig freisin go bhfuil Xiaomi ag déanamh monatóireachta ar úsáid bogearraí mar gach uair a osclaíonn sé apps, seoltar méid beag faisnéise chuig cianfhreastalaí. Dúirt taighdeoir gan ainm eile a luaigh Forbes gur thaifead sé freisin conas a bhailigh fóin na cuideachta Síneach sonraí den chineál céanna. Ní dhearna Xiaomi trácht ar an ábhar seo.
Tuairiscítear go seolfar na sonraí chuig an gcuideachta anailíse Síneach Sensors Analytics (ar a dtugtar Braiteoirí Sonraí freisin), a bunaíodh in 2015 agus atá i mbun anailís dhomhain ar iompar úsáideoirí agus ag soláthar seirbhísí comhairliúcháin gairmiúla. Cabhraíonn a chuid uirlisí le cliaint sonraí ceilte a fhiosrú trí phríomhphatrúin iompair a scrúdú. Dhearbhaigh urlabhraí ó Xiaomi an nasc leis an tosaithe: “Cé go soláthraíonn Sensors Analytics réiteach anailíse sonraí do Xiaomi, stóráiltear na sonraí gan ainm a bhailítear ar fhreastalaithe Xiaomi féin agus ní roinnfear iad le Sensors Analytics nó le haon chuideachtaí tríú páirtí eile.”
Foinse: 3dnews.ru