Reuters wis nerbitake artikel peringatan manawa raksasa Cina Xiaomi ngrekam data pribadhi mayuta-yuta wong babagan aktivitas online lan panggunaan piranti. "Iki minangka backdoor kanggo fungsi telpon," ujare Gabi Cirlig, setengah guyon, babagan smartphone Xiaomi sing anyar.
Peneliti cybersecurity sing berpengalaman iki ngomong karo Forbes sawise nemokake manawa smartphone Redmi Note 8 dheweke Spy kabeh sing ditindakake. Data iki banjur dikirim menyang server remot sing diselenggarakake dening raksasa teknologi Cina Alibaba, sing kemungkinan disewa dening Xiaomi.
Pak Kirlig nemokake manawa akeh informasi sing nguwatirake babagan prilaku dheweke dilacak nalika macem-macem jinis data diklumpukake saka piranti kasebut - spesialis kasebut kaget amarga rincian identitas lan urip pribadine wis dingerteni perusahaan China.
Nalika browsing situs web ing browser Xiaomi standar ing piranti kasebut, sing terakhir nyathet kabeh situs sing dibukak, kalebu pitakon saka mesin telusur, dadi Google utawa DuckDuckGo sing fokus ing privasi, lan kabeh item sing dideleng ing feed warta cangkang Xiaomi padha. uga direkam. Kajaba iku, kabeh pengawasan iki bisa digunakake sanajan mode "incognito" digunakake.
Piranti kasebut ngrekam folder sing dibukak, layar sing diowahi, sanajan ana ing garis status lan kaca setelan piranti. Kabeh data dikirim menyang server remot ing Singapura lan Rusia, sanajan domain web server kasebut didaftar ing Beijing.
Ing panyuwunan Forbes, peneliti keamanan siber liyane, Andrew Tierney, nindakake penyelidikan dhewe. Dheweke uga nemokake manawa browser sing diwenehake Xiaomi ing Google Play - Mi Browser Pro lan Mint Browser - ngumpulake data sing padha. Miturut statistik Google Play, bebarengan wis diinstal luwih saka 15 yuta kaping, tegese mayuta-yuta piranti bisa kena pengaruh.
Masalah kasebut, miturut Pak Kirlig, ditrapake kanggo model sing luwih akeh. Dheweke ndownload perangkat kukuh kanggo telpon Xiaomi liyane, kalebu Xiaomi Mi 10, Xiaomi Redmi K20 lan Xiaomi Mi MIX 3, sadurunge ngonfirmasi yen dheweke nggunakake browser sing padha lan bisa uga nandhang masalah privasi sing padha.
Ana uga ana kangelan karo cara Xiaomi nransfer data menyang server. Sanajan perusahaan China ngaku yen data kasebut dienkripsi, Gabi Kirlig nemokake manawa dheweke bisa ndeleng kanthi cepet apa sing diundhuh saka piranti kasebut amarga enkripsi kasebut nggunakake algoritma base64 sing paling gampang. Mung sawetara detik kanggo ngowahi paket data dadi informasi sing bisa diwaca. Dheweke uga ngelingake: "Keprigelan utama babagan privasi yaiku data sing dikirim menyang server remot gampang banget digandhengake karo pangguna tartamtu."
Nanggepi temuan para ahli kasebut, juru wicoro Xiaomi ujar manawa klaim riset kasebut ora bener, lan privasi lan keamanan penting banget, lan perusahaan kasebut kanthi ketat netepi lan tundhuk karo hukum lan peraturan lokal babagan masalah privasi pangguna. . Nanging juru wicoro dikonfirmasi manawa data browsing diklumpukake, ujar manawa informasi kasebut anonim lan ora ana gandhengane karo sapa wae, lan pangguna setuju karo pelacakan kasebut.
Nanging minangka Gabi Kirlig lan Andrew Tierney nuduhake, ora mung informasi babagan situs web sing dibukak utawa telusuran Internet sing dikirim menyang server: Xiaomi uga nglumpukake data babagan telpon, kalebu nomer unik kanggo ngenali piranti lan versi Android tartamtu. Metadata kasebut bisa gampang digandhengake karo wong nyata ing mburi layar yen dikarepake.
Juru bicara Xiaomi uga nolak klaim yen data browsing direkam ing mode incognito. Nanging, peneliti keamanan nemokake ing tes independen sing prilaku online ngirim pesen menyang server remot preduli saka apa mode browser mlaku ing, nyedhiyani loro foto lan video minangka bukti.
Nalika wartawan Forbes nyedhiyakake Xiaomi video sing nuduhake carane telusuran Google lan kunjungan situs web dikirim menyang server remot sanajan ing mode incognito, juru bicara perusahaan terus mbantah manawa informasi kasebut direkam: "Video iki nuduhake koleksi data browsing anonim, sing minangka salah sawijining keputusan sing paling umum ditindakake dening perusahaan Internet kanggo nambah pengalaman browsing sakabèhé kanthi nganalisa informasi sing ora bisa diidentifikasi sacara pribadi."
Nanging, ahli keamanan percaya yen prilaku browser Xiaomi luwih agresif tinimbang browser populer liyane kaya Google Chrome utawa Apple Safari: sing terakhir ora ngrekam prilaku browser, kalebu URL, tanpa idin eksplisit pangguna lan ing mode browsing pribadi.
Kajaba iku, ing panalitene, Pak Kirlig nemokake manawa pamuter musik sing wis diinstal ing smartphone Xiaomi ngumpulake informasi babagan kabiasaan ngrungokake: lagu sing diputer lan kapan.
Gabi Kirlig uga curiga yen Xiaomi ngawasi panggunaan piranti lunak amarga saben mbukak aplikasi, sawetara informasi dikirim menyang server remot. Peneliti anonim liyane sing dikutip Forbes ujar manawa dheweke uga nyathet kepiye telpon perusahaan China nglumpukake data sing padha. Xiaomi ora menehi komentar babagan perkara iki.
Data kasebut dilaporake dikirim menyang perusahaan analitik Cina Sensors Analytics (uga dikenal minangka Data Sensor), sing didegake ing 2015 lan melu analisa jero babagan prilaku pangguna lan nyedhiyakake layanan konsultasi profesional. Piranti kasebut mbantu klien njelajah data sing didhelikake kanthi mriksa pola prilaku utama. Juru bicara Xiaomi ngonfirmasi hubungane karo wiwitan: "Sanajan Sensor Analytics nyedhiyakake solusi analisis data kanggo Xiaomi, data anonim sing diklumpukake disimpen ing server Xiaomi dhewe lan ora bakal dituduhake karo Sensor Analytics utawa perusahaan pihak katelu liyane."
Source: 3dnews.ru