Reuters publicou un artigo de advertencia de que o xigante chinés Xiaomi está a rexistrar os datos persoais de millóns de persoas sobre as súas actividades en liña e o uso do dispositivo. "É unha porta traseira para a funcionalidade dun teléfono", dixo Gabi Cirlig, medio en broma, sobre o seu novo teléfono intelixente Xiaomi.
Este experimentado investigador en ciberseguridade falou con Forbes despois de descubrir que o seu teléfono intelixente Redmi Note 8 estaba espiando todo o que facía. Estes datos enviáronse despois a servidores remotos aloxados polo xigante tecnolóxico chinés Alibaba, que probablemente foron alugados por Xiaomi.
Kirlig descubriu que se rastrexaba unha cantidade alarmante de información sobre o seu comportamento mentres se recollían simultáneamente varios tipos de datos do dispositivo; o especialista estaba horrorizado de que a empresa chinesa coñecía plenamente os detalles da súa identidade e vida privada.
Cando navegaba por sitios web no navegador Xiaomi predeterminado do dispositivo, este rexistrou todos os sitios visitados, incluídas as consultas dos motores de busca, xa fose Google ou o DuckDuckGo centrado na privacidade, e todos os elementos vistos na fonte de noticias do shell de Xiaomi foron tamén gravado. Ademais, toda esta vixilancia funcionou mesmo cando se usaba o modo "incógnito".
O dispositivo rexistrou que cartafoles se abriron, que pantallas cambiaron, mesmo cando se trataba da barra de estado e da páxina de configuración do dispositivo. Todos os datos enviáronse por lotes a servidores remotos en Singapur e Rusia, aínda que os dominios web dos servidores rexistráronse en Pequín.
A petición de Forbes, outro investigador de ciberseguridade, Andrew Tierney, levou a cabo a súa propia investigación. Tamén descubriu que os navegadores proporcionados por Xiaomi en Google Play - Mi Browser Pro e Mint Browser - recollen os mesmos datos. Segundo as estatísticas de Google Play, xuntos instaláronse máis de 15 millóns de veces, o que significa que millóns de dispositivos poderían verse afectados.
Os problemas, segundo Kirlig, aplícanse a un número moito maior de modelos. Descargou firmware para outros teléfonos Xiaomi, incluídos os Xiaomi Mi 10, Xiaomi Redmi K20 e Xiaomi Mi MIX 3, antes de confirmar que usan un navegador idéntico e que probablemente padecen os mesmos problemas de privacidade.
Tamén parece haber dificultades coa forma en que Xiaomi transfire os datos aos seus servidores. Aínda que a empresa chinesa afirma que os datos están cifrados, Gabi Kirlig descubriu que podía ver rapidamente o que se descargaba do seu dispositivo porque o cifrado utiliza o algoritmo base64 máis sinxelo. Só levou uns segundos converter os paquetes de datos en información lexible. Tamén advertiu: "A miña principal preocupación en canto á privacidade é que os datos enviados a servidores remotos asócianse moi facilmente cun usuario específico".
En resposta aos descubrimentos dos devanditos expertos, un portavoz de Xiaomi dixo que as afirmacións da investigación non son certas, e que a privacidade e a seguridade son de suma importancia, e que a compañía cumpre estrictamente e cumpre plenamente coas leis e regulamentos locais sobre cuestións de privacidade dos usuarios. . Pero o portavoz confirmou que se están a recoller datos de navegación, dicindo que a información é anónima e non está vinculada a ningún individuo, e os usuarios dan o seu consentimento para ese seguimento.
Pero, como sinalan Gabi Kirlig e Andrew Tierney, non se enviou só ao servidor información sobre sitios web visitados ou buscas en Internet: Xiaomi tamén recolleu datos sobre o teléfono, incluídos números únicos para identificar un dispositivo específico e unha versión de Android. Tales metadatos pódense correlacionar facilmente coa persoa real detrás da pantalla, se o desexa.
Un portavoz de Xiaomi tamén rexeitou as afirmacións de que os datos de navegación se gravan en modo de incógnito. Non obstante, os investigadores de seguridade descubriron nas súas probas independentes que o seu comportamento en liña envía mensaxes a servidores remotos independentemente do modo no que se executa o navegador, proporcionando tanto fotos como vídeos como proba.
Cando os xornalistas de Forbes proporcionaron a Xiaomi un vídeo que mostraba como as buscas de Google e as visitas aos sitios web se enviaban a servidores remotos mesmo en modo de incógnito, un portavoz da empresa continuou negando que se estaba gravando a información: "Este vídeo demostra a recollida de datos de navegación anónimos, que é unha das decisións máis comúns que toman as empresas de Internet para mellorar a experiencia global de navegación mediante a análise de información non identificable persoalmente".
Non obstante, os expertos en seguridade consideran que o comportamento do navegador Xiaomi é moito máis agresivo que outros navegadores populares como Google Chrome ou Apple Safari: estes últimos non rexistran o comportamento do navegador, incluídos os URL, sen o consentimento explícito do usuario e en modo de navegación privada.
Ademais, na súa investigación, o señor Kirlig descubriu que o reprodutor de música preinstalado nos teléfonos intelixentes Xiaomi recolle información sobre os hábitos de escoita: que cancións se reproducen e cando.
Gabi Kirlig tamén sospeita que Xiaomi está supervisando o uso do software porque cada vez que abre aplicacións envíase unha pequena cantidade de información a un servidor remoto. Outro investigador anónimo citado por Forbes dixo que tamén rexistrou como os teléfonos da compañía chinesa recollían datos similares. Xiaomi non comentou este asunto.
Os datos son enviados á empresa de análise chinesa Sensors Analytics (tamén coñecida como Sensors Data), que foi fundada en 2015 e que se dedica á análise en profundidade do comportamento dos usuarios e á prestación de servizos de consultoría profesionais. As súas ferramentas axudan aos clientes a explorar datos ocultos examinando patróns de comportamento clave. Un portavoz de Xiaomi confirmou a conexión coa startup: "Aínda que Sensors Analytics ofrece unha solución de análise de datos para Xiaomi, os datos anónimos recollidos gárdanse nos propios servidores de Xiaomi e non se compartirán con Sensors Analytics nin con outras empresas de terceiros".
Fonte: 3dnews.ru