Reuters je objavio članak upozorenja da kineski div Xiaomi bilježi osobne podatke milijuna ljudi o njihovim online aktivnostima i korištenju uređaja. "To je stražnja vrata funkcionalnosti telefona", rekao je Gabi Cirlig, polušaljivo, o svom novom Xiaomi pametnom telefonu.
Ovaj iskusni istraživač kibernetičke sigurnosti razgovarao je s Forbesom nakon što je otkrio da njegov pametni telefon Redmi Note 8 špijunira sve što on radi. Ti su podaci zatim poslani na udaljene poslužitelje koje je hostirao kineski tehnološki div Alibaba, a koje je vjerojatno unajmio Xiaomi.
Gospodin Kirlig otkrio je da se prati alarmantna količina informacija o njegovom ponašanju dok se različite vrste podataka istovremeno prikupljaju s uređaja - stručnjak je bio užasnut činjenicom da su detalji o njegovom identitetu i privatnom životu u potpunosti poznati kineskoj tvrtki.
Kada je pregledavao web stranice u zadanom pregledniku Xiaomi na uređaju, potonji je bilježio sve posjećene stranice, uključujući upite s tražilica, bilo da je riječ o Googleu ili DuckDuckGou usmjerenom na privatnost, a također je bilježio sve pregledane stavke u feedu vijesti Xiaomi školjka. Štoviše, sav taj nadzor je funkcionirao čak i kada se koristio "incognito" način rada.
Uređaj je bilježio koje su mape otvorene, koji su se zasloni mijenjali, čak i kada je u pitanju statusna traka i stranica s postavkama uređaja. Svi podaci slani su u serijama na udaljene poslužitelje u Singapuru i Rusiji, iako su web domene poslužitelja bile registrirane u Pekingu.
Na zahtjev Forbesa, još jedan istraživač kibernetičke sigurnosti, Andrew Tierney, proveo je vlastitu istragu. Također je otkrio da preglednici koje Xiaomi isporučuje na Google Playu - Mi Browser Pro i Mint Browser - prikupljaju iste podatke. Prema statistici Google Playa, zajedno su instalirani više od 15 milijuna puta, što znači da bi mogli utjecati na milijune uređaja.
Problemi se, prema g. Kirligu, odnose na puno veći broj modela. Preuzeo je firmware za druge Xiaomi telefone, uključujući Xiaomi Mi 10, Xiaomi Redmi K20 i Xiaomi Mi MIX 3, prije nego što je potvrdio da koriste identičan preglednik i da vjerojatno pate od istih problema s privatnošću.
Čini se da postoje i poteškoće s načinom na koji Xiaomi prenosi podatke na svoje poslužitelje. Iako kineska tvrtka tvrdi da su podaci šifrirani, Gabi Kirlig otkrio je da može brzo vidjeti što je preuzeto s njegovog uređaja jer enkripcija koristi najjednostavniji base64 algoritam. Bilo je potrebno samo nekoliko sekundi da se paketi podataka pretvore u čitljive informacije. Također je upozorio: "Moja glavna briga u vezi s privatnošću je da se podaci koji se šalju udaljenim poslužiteljima vrlo lako povezuju s određenim korisnikom."
Kao odgovor na nalaze navedenih stručnjaka, glasnogovornik Xiaomija rekao je da tvrdnje istraživanja nisu istinite, a privatnost i sigurnost su od najveće važnosti, a tvrtka se strogo pridržava i u potpunosti je u skladu s lokalnim zakonima i propisima koji se tiču pitanja privatnosti korisnika . No glasnogovornik je potvrdio da se prikupljaju podaci o pregledavanju, rekavši da su informacije anonimne i nisu vezane ni za jednu osobu, a korisnici pristaju na takvo praćenje.
Ali kao što ističu Gabi Kirlig i Andrew Tierney, nisu samo informacije o posjećenim web stranicama ili internetskim pretraživanjima poslane na poslužitelj: Xiaomi je također prikupio podatke o telefonu, uključujući jedinstvene brojeve za identifikaciju određenog uređaja i verzije Androida. Takvi se metapodaci po želji mogu lako povezati sa stvarnom osobom iza ekrana.
Glasnogovornik Xiaomija također je odbacio tvrdnje da se podaci o pregledavanju snimaju u anonimnom načinu rada. Međutim, istraživači sigurnosti otkrili su u svojim neovisnim testovima da njihovo online ponašanje šalje poruke udaljenim poslužiteljima bez obzira na način rada preglednika, pružajući fotografije i videozapise kao dokaz.
Kada su novinari Forbesa dali Xiaomiju video koji prikazuje kako se Google pretraživanja i posjete web stranicama šalju udaljenim poslužiteljima čak i u anonimnom načinu rada, glasnogovornik tvrtke nastavio je negirati da se informacije snimaju: “Ovaj video demonstrira prikupljanje anonimnih podataka o pregledavanju, koji jedna je od najčešćih odluka internetskih tvrtki da poboljšaju sveukupno iskustvo pregledavanja analizom podataka koji nisu osobni."
Međutim, stručnjaci za sigurnost vjeruju da je ponašanje preglednika Xiaomi mnogo agresivnije od drugih popularnih preglednika poput Google Chromea ili Apple Safarija: potonji ne bilježe ponašanje preglednika, uključujući URL-ove, bez izričitog pristanka korisnika i u načinu privatnog pregledavanja.
Osim toga, g. Kirlig je u svom istraživanju otkrio da glazbeni player koji je unaprijed instaliran na Xiaomi pametnim telefonima prikuplja informacije o navikama slušanja: koje se pjesme puštaju i kada.
Gabi Kirlig također sumnja da Xiaomi prati korištenje softvera jer svaki put kada otvori aplikacije, mala količina informacija šalje se udaljenom poslužitelju. Drugi anonimni istraživač kojeg citira Forbes rekao je da je također zabilježio kako su telefoni kineske tvrtke prikupljali slične podatke. Xiaomi nije komentirao ovu stvar.
Podaci se navodno šalju kineskoj analitičkoj tvrtki Sensors Analytics (poznatoj i kao Sensors Data), koja je osnovana 2015. i bavi se dubinskom analizom ponašanja korisnika i pružanjem profesionalnih konzultantskih usluga. Njegovi alati pomažu klijentima istražiti skrivene podatke ispitivanjem ključnih obrazaca ponašanja. Glasnogovornik Xiaomija potvrdio je vezu s startupom: "Iako Sensors Analytics pruža rješenje za analizu podataka za Xiaomi, prikupljeni anonimni podaci pohranjuju se na vlastitim poslužiteljima Xiaomija i neće se dijeliti s Sensors Analyticsom ili bilo kojom drugom tvrtkom treće strane."
Izvor: 3dnews.ru