セキュリティ専門家がXiaomiスマートフォンについて語る：「これは電話機能を備えたバックドアだ」

ロイター通信は、中国の大手シャオミが数百万人のオンライン活動やデバイスの使用状況に関する個人データを記録しているとする警告記事を発表した。 「これは電話の機能へのバックドアです」とガビ・サーリグ氏は、新しいシャオミのスマートフォンについて冗談半分に語った。

この経験豊富なサイバーセキュリティ研究者は、スマートフォン Redmi Note 8 が彼の行動すべてを監視していることを発見した後、フォーブスにインタビューしました。 このデータはその後、同じく中国のハイテク大手アリババがホストするリモートサーバーに送信され、シャオミがレンタルしていた可能性が高い。

キルリグ氏は、さまざまな種類のデータが同時にデバイスから収集される一方で、彼の行動に関する驚くべき量の情報が追跡されていることを発見しました。専門家は、彼の身元と私生活の詳細が中国企業に完全に知られていたことに恐怖を感じました。

彼がデバイス上のデフォルトの Xiaomi ブラウザで Web サイトを閲覧すると、Xiaomi ブラウザは、Google やプライバシー重視の DuckDuckGo などの検索エンジンからのクエリを含む、訪問したすべてのサイトを記録し、Xiaomi シェルのニュース フィードで表示されたすべてのアイテムが記録されました。も記録されています。 さらに、この監視はすべて、「シークレット」モードが使用されている場合でも機能しました。

デバイスは、ステータス バーやデバイス設定ページに関しても、どのフォルダーが開かれ、どの画面が切り替えられたかを記録しました。 すべてのデータはシンガポールとロシアのリモート サーバーにバッチで送信されましたが、サーバーの Web ドメインは北京に登録されていました。

フォーブスの要請を受けて、別のサイバーセキュリティ研究者であるアンドリュー・ティアニー氏が独自の調査を実施した。 また、Xiaomi が Google Play で提供するブラウザ、Mi Browser Pro と Mint Browser が同じデータを収集していることも発見しました。 Google Play の統計によると、これらは合わせて 15 万回以上インストールされており、数百万台のデバイスが影響を受ける可能性があります。

Kirlig 氏によると、この問題はさらに多くのモデルに当てはまります。 同氏は、Xiaomi Mi 10、Xiaomi Redmi K20、Xiaomi Mi MIX 3などの他のXiaomi携帯電話のファームウェアをダウンロードした後、それらが同一のブラウザを使用しており、同様のプライバシー問題に悩まされている可能性が高いことを確認した。

Xiaomi がサーバーにデータを転送する方法にも問題があるようです。 中国の企業はデータが暗号化されていると主張していますが、暗号化には最も単純な Base64 アルゴリズムが使用されているため、Gabi Kirlig 氏は自分のデバイスからダウンロードされたものをすぐに確認できることに気づきました。 データ パケットを読み取り可能な情報に変換するのにかかる時間はわずか数秒でした。 同氏はまた、「プライバシーに関する私の主な懸念は、リモートサーバーに送信されたデータが特定のユーザーに簡単に関連付けられてしまうことだ」と警告した。

前述の専門家の調査結果に応じて、Xiaomiの広報担当者は、調査の主張は真実ではなく、プライバシーとセキュリティは最も重要であり、同社はユーザーのプライバシー問題に関する現地の法律と規制を厳格に遵守し、完全に遵守していると述べた。 。 しかし広報担当者は、閲覧データが収集されていることを認め、情報は匿名で個人に関連付けられておらず、ユーザーはそのような追跡に同意していると述べた。

しかし、Gabi Kirlig氏とAndrew Tierney氏が指摘しているように、サーバーに送信されたのは、訪問したWebサイトやインターネット検索に関する情報だけではなかった。Xiaomiは、特定のデバイスやAndroidのバージョンを識別するための固有の番号など、携帯電話に関するデータも収集した。 このようなメタデータは、必要に応じて、画面の向こうにいる実際の人物と簡単に関連付けることができます。

Xiaomiの広報担当者も、シークレットモードで閲覧データが記録されているという主張を否定した。 しかし、セキュリティ研究者は独自のテストで、ブラウザがどのモードで実行されているかに関係なく、オンラインでの動作がリモート サーバーにメッセージを送信することを発見し、証拠として写真とビデオの両方を提供しました。

フォーブスのジャーナリストが、シークレット モードであっても Google 検索と Web サイトへのアクセスがどのようにリモート サーバーに送信されるかを示すビデオをシャオミに提供したとき、同社の広報担当者は情報が記録されていることを否定し続けました。「このビデオは、匿名の閲覧データの収集を示しています。これは、個人を特定できない情報を分析することによって全体的なブラウジング エクスペリエンスを向上させるためにインターネット企業が行う最も一般的な決定の XNUMX つです。」

しかし、セキュリティ専門家は、Xiaomi ブラウザの動作は、Google Chrome や Apple Safari などの他の一般的なブラウザよりもはるかに攻撃的であると考えています。後者は、ユーザーの明示的な同意がない限り、プライベート ブラウジング モードでは、URL を含むブラウザの動作を記録しません。

さらに、キルリグ氏は研究の中で、Xiaomi スマートフォンにプリインストールされている音楽プレーヤーが、どの曲をいつ再生するかという視聴習慣に関する情報を収集していることを発見しました。

Gabi Kirlig 氏はまた、アプリを開くたびに少量の情報がリモート サーバーに送信されるため、Xiaomi がソフトウェアの使用状況を監視しているのではないかと疑っています。 フォーブスが引用した別の匿名の研究者も、中国企業の携帯電話が同様のデータをどのように収集したかを記録したと述べた。 Xiaomiはこの件についてコメントしなかった。

このデータは、2015年に設立され、ユーザー行動の詳細な分析と専門的なコンサルティングサービスの提供に取り組んでいる中国の分析会社Sensors Analytics（別名Sensors Data）に送信されると報告されています。 そのツールは、クライアントが主要な動作パターンを調べることによって隠されたデータを探索するのに役立ちます。 Xiaomiの広報担当者は、このスタートアップとの関係を認め、「Sensors AnalyticsはXiaomiにデータ分析ソリューションを提供しているが、収集された匿名データはXiaomi独自のサーバーに保存され、Sensors Analyticsや他のサードパーティ企業と共有されることはない」と述べた。

出所： 3dnews.ru