Reuters-ը նախազգուշացնող հոդված է հրապարակել այն մասին, որ չինական հսկա Xiaomi-ն գրանցում է միլիոնավոր մարդկանց անձնական տվյալները առցանց գործունեության և սարքերի օգտագործման վերաբերյալ։ «Դա հեռախոսի ֆունկցիոնալության հետին դուռ է», - կեսկատակ ասաց Գաբի Չիրլիգը իր նոր Xiaomi սմարթֆոնի մասին:
Կիբերանվտանգության այս փորձառու հետազոտողը զրուցել է Forbes-ի հետ այն բանից հետո, երբ պարզել է, որ իր Redmi Note 8 սմարթֆոնը լրտեսում է այն ամենը, ինչ նա անում է: Այնուհետև այս տվյալները ուղարկվել են չինական Alibaba տեխնոլոգիական հսկայի կողմից տեղակայված հեռավոր սերվերներին, որոնք, հավանաբար, վարձակալվել են Xiaomi-ի կողմից:
Պարոն Կիրլիգը հայտնաբերեց, որ իր վարքագծի մասին տագնապալի քանակությամբ տեղեկություններ են հետևում, մինչ սարքից միաժամանակ հավաքվում էին տարբեր տեսակի տվյալներ. մասնագետը սարսափում էր, որ իր ինքնության և անձնական կյանքի մանրամասները լիովին հայտնի են չինական ընկերությանը:
Երբ նա դիտում էր վեբկայքերը սարքի վրա լռելյայն Xiaomi բրաուզերով, վերջինս գրանցում էր բոլոր այցելած կայքերը, ներառյալ որոնման համակարգերից հարցումները, լինի դա Google-ը, թե գաղտնիության վրա կենտրոնացած DuckDuckGo, և Xiaomi shell-ի նորությունների հոսքում դիտված բոլոր տարրերը. նույնպես արձանագրվել է. Ավելին, այս ամբողջ հսկողությունն աշխատում էր նույնիսկ այն ժամանակ, երբ օգտագործվում էր «ինկոգնիտո» ռեժիմը։
Սարքը արձանագրել է, թե որ թղթապանակներն են բացվել, որ էկրաններն են փոխվել, նույնիսկ երբ խոսքը վերաբերում է կարգավիճակի տողին և սարքի կարգավորումների էջին: Բոլոր տվյալները խմբաքանակով ուղարկվել են Սինգապուրի և Ռուսաստանի հեռավոր սերվերներ, թեև սերվերների վեբ տիրույթները գրանցված են Պեկինում:
Forbes-ի խնդրանքով կիբերանվտանգության մեկ այլ հետազոտող Էնդրյու Թիրնին իրականացրել է իր սեփական հետաքննությունը։ Նա նաև հայտնաբերել է, որ Google Play-ում Xiaomi-ի կողմից տրամադրված բրաուզերները՝ Mi Browser Pro և Mint Browser, հավաքում են նույն տվյալները: Google Play-ի վիճակագրության համաձայն, դրանք միասին տեղադրվել են ավելի քան 15 միլիոն անգամ, ինչը նշանակում է, որ միլիոնավոր սարքեր կարող են տուժել:
Խնդիրները, ըստ պարոն Կիրլիգի, վերաբերում են շատ ավելի մեծ թվով մոդելներին։ Նա ներբեռնել է որոնվածը այլ Xiaomi հեռախոսների համար, ներառյալ Xiaomi Mi 10-ը, Xiaomi Redmi K20-ը և Xiaomi Mi MIX 3-ը, նախքան հաստատելը, որ նրանք օգտագործում են նույնական բրաուզեր և, հավանաբար, տառապում են նույն գաղտնիության խնդիրներից:
Թվում է, թե դժվարություններ կան նաև Xiaomi-ի տվյալների փոխանցման եղանակի հետ կապված իր սերվերներին: Չնայած չինական ընկերությունը պնդում է, որ տվյալները կոդավորված են, Գաբի Կիրլիգը պարզել է, որ նա կարող է արագ տեսնել, թե ինչ է ներբեռնվել իր սարքից, քանի որ կոդավորումն օգտագործում է ամենապարզ base64 ալգորիթմը: Ընդամենը մի քանի վայրկյան պահանջվեց տվյալների փաթեթները ընթեռնելի տեղեկատվության փոխարկելու համար: Նա նաև նախազգուշացրեց. «Գաղտնիության հետ կապված իմ հիմնական մտահոգությունն այն է, որ հեռավոր սերվերներին ուղարկված տվյալները շատ հեշտությամբ կապված են կոնկրետ օգտագործողի հետ»:
Ի պատասխան նշված փորձագետների բացահայտումների՝ Xiaomi-ի ներկայացուցիչն ասաց, որ հետազոտության պնդումները չեն համապատասխանում իրականությանը, և գաղտնիությունն ու անվտանգությունը առաջնային նշանակություն ունեն, և ընկերությունը խստորեն հետևում է և լիովին համապատասխանում է տեղական օրենքներին և կանոնակարգերին՝ կապված օգտատերերի գաղտնիության հետ կապված խնդիրների հետ: . Բայց խոսնակը հաստատեց, որ զննարկման տվյալները հավաքվում են՝ ասելով, որ տեղեկատվությունը անանուն է և կապված չէ որևէ անձի հետ, և օգտատերերը համաձայնում են նման հետևելուն:
Սակայն, ինչպես նշում են Գաբի Կիրլիգը և Էնդրյու Թիրնին, սերվերին ուղարկվել են ոչ միայն այցելած կայքերի կամ ինտերնետ որոնումների մասին տեղեկությունները. Ցանկության դեպքում, նման մետատվյալները հեշտությամբ կարող են փոխկապակցվել էկրանի հետևում գտնվող իրական անձի հետ:
Xiaomi-ի ներկայացուցիչը նաև հերքել է այն պնդումները, որ զննարկման տվյալները գրանցվում են ինկոգնիտո ռեժիմում: Այնուամենայնիվ, անվտանգության հետազոտողները իրենց անկախ թեստերում պարզել են, որ նրանց առցանց վարքագիծը հաղորդագրություններ է ուղարկում հեռավոր սերվերներին՝ անկախ այն բանից, թե որ ռեժիմում է աշխատում բրաուզերը՝ որպես ապացույց տրամադրելով ինչպես լուսանկարներ, այնպես էլ տեսանյութեր:
Երբ Forbes-ի լրագրողները Xiaomi-ին տրամադրեցին տեսանյութ, որը ցույց էր տալիս, թե ինչպես են Google-ի որոնումները և վեբ կայք այցելությունները ուղարկվում հեռավոր սերվերներ նույնիսկ ինկոգնիտո ռեժիմում, ընկերության խոսնակը շարունակեց հերքել, որ տեղեկատվությունը ձայնագրվում է. «Այս տեսանյութը ցույց է տալիս զննարկման անանուն տվյալների հավաքագրումը, Ինտերնետային ընկերությունների կողմից ընդունված ամենատարածված որոշումներից մեկն է՝ բարելավելու զննարկման ընդհանուր փորձը՝ վերլուծելով ոչ անձնապես ճանաչելի տեղեկությունները»:
Այնուամենայնիվ, անվտանգության փորձագետները կարծում են, որ Xiaomi բրաուզերի վարքագիծը շատ ավելի ագրեսիվ է, քան մյուս հայտնի բրաուզերները, ինչպիսիք են Google Chrome-ը կամ Apple Safari-ն. վերջիններս չեն գրանցում բրաուզերի վարքագիծը, ներառյալ URL-ները, առանց օգտատիրոջ բացահայտ համաձայնության և մասնավոր զննարկման ռեժիմում:
Բացի այդ, իր հետազոտության ընթացքում պարոն Քիրլիգը պարզել է, որ Xiaomi սմարթֆոններում նախապես տեղադրված երաժշտական նվագարկիչը տեղեկատվություն է հավաքում լսելու սովորությունների մասին՝ որ երգերը և երբ են հնչում:
Գաբի Կիրլիգը նաև կասկածում է, որ Xiaomi-ն վերահսկում է ծրագրաշարի օգտագործումը, քանի որ ամեն անգամ, երբ նա բացում է հավելվածները, փոքր քանակությամբ տեղեկատվություն ուղարկվում է հեռավոր սերվեր: Մեկ այլ անանուն հետազոտող, որին մեջբերում է Forbes-ը, ասում է, որ ինքը նաև արձանագրել է, թե ինչպես են չինական ընկերության հեռախոսները հավաքում նմանատիպ տվյալներ: Xiaomi-ն չի մեկնաբանել այս հարցը։
Հաղորդվում է, որ տվյալները կուղարկվեն չինական վերլուծական Sensors Analytics ընկերությանը (հայտնի է նաև որպես Sensors Data), որը հիմնադրվել է 2015 թվականին և զբաղվում է օգտատերերի վարքագծի խորը վերլուծությամբ և մասնագիտական խորհրդատվական ծառայություններ մատուցելով: Նրա գործիքներն օգնում են հաճախորդներին ուսումնասիրել թաքնված տվյալները՝ ուսումնասիրելով հիմնական վարքի ձևերը: Xiaomi-ի ներկայացուցիչը հաստատել է կապը ստարտափի հետ. «Չնայած Sensors Analytics-ը տրամադրում է տվյալների վերլուծության լուծում Xiaomi-ի համար, հավաքված անանուն տվյալները պահվում են Xiaomi-ի սեփական սերվերներում և չեն տարածվի Sensors Analytics-ի կամ որևէ այլ երրորդ կողմի ընկերությունների հետ»:
Source: 3dnews.ru