Reuters Кытай гиганты Xiaomi миллиондогон адамдардын интернеттеги иш-аракеттери жана түзмөктү колдонуусу тууралуу жеке маалыматтарын жазып жаткандыгы тууралуу эскертүү макаласын чыгарды. "Бул телефондун иштөөсүнө арткы эшик", - деди Габи Цирлиг өзүнүн жаңы Xiaomi смартфону жөнүндө жарым тамашалап.
Бул тажрыйбалуу киберкоопсуздук изилдөөчүсү анын Redmi Note 8 смартфону анын бардык аракеттерин аңдып жатканын билгенден кийин Forbes менен сүйлөштү. Андан кийин бул маалымат кытайлык технология гиганты Alibaba тарабынан жайгаштырылган алыскы серверлерге жөнөтүлгөн, кыязы, Xiaomi тарабынан ижарага алынган.
Кирлиг мырза анын жүрүм-туруму тууралуу кооптуу көлөмдөгү маалыматтарга көз салып жатканын, ошол эле учурда ар кандай типтеги маалыматтарды аппараттан чогултуп жатканын аныктады - адис анын инсандыгы жана жеке жашоосу тууралуу толук маалымат кытайлык компанияга толук белгилүү болгонуна чочуп кетти.
Ал түзмөктөгү демейки Xiaomi браузеринде веб-сайттарды карап чыкканда, акыркысы кирген бардык сайттарды, анын ичинде Google же купуялыкка багытталган DuckDuckGo болобу, издөө системаларынын сурамдарын жазды жана Xiaomi кабыгынын жаңылыктар лентасында көрүлгөн бардык нерселерди жазды. да жазылган. Анын үстүнө, бул көзөмөлдүн баары “жашыруун” режим колдонулганда да иштеген.
Түзмөк кайсы папкалар ачылганын жана кайсы экрандар которулганын жазып алган, ал тургай ал абал тилкеси жана түзмөктүн жөндөөлөр барагы болсо да. Бардык маалыматтар Сингапур менен Россиянын алыскы серверлерине топ-топ менен жөнөтүлгөн, бирок веб-домендер серверлер Пекинде катталган.
Forbesтун өтүнүчү боюнча киберкоопсуздук боюнча дагы бир изилдөөчү Эндрю Тирни өз алдынча иликтөө жүргүзгөн. Ал ошондой эле Google Play'де Xiaomi тарабынан берилген браузерлер - Mi Browser Pro жана Mint Browser - бирдей маалыматтарды чогултарын аныктады. Google Play статистикасына ылайык, алар чогуу 15 миллиондон ашык жолу орнотулган, башкача айтканда, миллиондогон түзмөктөр таасир этиши мүмкүн.
Кирлиг мырзанын айтымында, көйгөйлөр көп сандагы моделдерге тиешелүү. Ал башка Xiaomi телефондоруна, анын ичинде Xiaomi Mi 10, Xiaomi Redmi K20 жана Xiaomi Mi MIX 3 үчүн микропрограмманы жүктөп алып, алар окшош браузерди колдонорун жана ошол эле купуялык маселелеринен жапа чеккенин ырастаган.
Xiaomi өз серверлерине маалыматтарды өткөрүп берүү жолу менен да кыйынчылыктар бар окшойт. Кытай компаниясы маалыматтар шифрленген деп ырастаса да, Габи Кирлиг анын түзмөгүнөн эмне жүктөлүп алынганын тез көрө аларын тапты, анткени шифрлөө эң жөнөкөй base64 алгоритмин колдонот. Маалымат пакеттерин окула турган маалымат бөлүктөрүнө айландыруу үчүн бир нече секунд гана талап кылынды. Ал ошондой эле эскертти: "Менин купуялуулукка байланыштуу менин негизги тынчсыздануум - алыскы серверлерге жөнөтүлгөн маалыматтар белгилүү бир колдонуучу менен оңой байланышкан."
Жогорудагы эксперттердин корутундусуна жооп кылып, Xiaomi өкүлү изилдөөнүн дооматтары чындыкка дал келбей турганын, купуялуулук жана коопсуздук эң маанилүү экенин жана компания колдонуучунун купуялуулугуна байланыштуу жергиликтүү мыйзамдарды жана эрежелерди так карманарын жана аларга толук жооп берерин айтты. . Бирок басма сөз катчысы серептөө маалыматтары чогултулуп жатканын ырастап, маалымат анонимдүү экенин жана эч кимге байланышпаганын жана колдонуучулар мындай көзөмөлдөөгө макулдугун билдирди.
Бирок, Габи Сирлиг менен Эндрю Тирни белгилегендей, серверге жөн гана кирген веб-сайттар же интернеттеги издөөлөр жөнөтүлгөн эмес: Xiaomi ошондой эле белгилүү бир түзмөктү жана версияны аныктоо үчүн уникалдуу номерлерди кошо алганда, телефон маалыматтарын чогулткан. AndroidКааласаңыз, мындай метадайындарды экрандын артындагы чыныгы адамга оңой байланыштырууга болот.
Xiaomi басма сөз катчысы ошондой эле серептөө маалыматтары жашыруун режимде жазылып жатат деген дооматтарды четке какты. Бирок, коопсуздук изилдөөчүлөрү көз карандысыз тестирлөөдө алардын онлайн жүрүм-туруму браузердин кайсы режимде иштеп жатканына карабастан, алыскы серверлерге билдирүүлөрдү жөнөтөрүн аныктап, далил катары сүрөттөр менен видеолорду да камсыздайт.
Forbes журналисттери Xiaomi компаниясына Google издөөлөрү жана веб-сайттарга кирүүлөр инкогнито режиминде да алыскы серверлерге кантип жөнөтүлгөнүн көрсөткөн видеону бергенде, компаниянын өкүлү маалымат жазылып жатканын четке кагууну улантты: «Бул видео анонимдүү серептөө маалыматтарынын чогултулганын көрсөтүп турат. жеке аныкталбаган маалыматты талдоо аркылуу жалпы серептөө тажрыйбасын жакшыртуу үчүн Интернет компаниялары тарабынан кабыл алынган эң кеңири таралган чечимдердин бири болуп саналат."
Бирок коопсуздук боюнча эксперттер Xiaomi браузеринин жүрүм-туруму Google Chrome же Apple Safari сыяктуу башка популярдуу браузерлерге караганда алда канча агрессивдүү деп эсептешет: акыркылары колдонуучунун ачык макулдугусуз жана жеке серептөө режиминде браузердин жүрүм-турумун, анын ичинде URL даректерин жаздырбайт.
Кошумчалай кетсек, Кирлиг мырза өзүнүн изилдөөсүндө Xiaomi смартфондоруна алдын ала орнотулган музыка ойноткуч угуу адаттары: кайсы ырлар жана качан ойнолот деген маалыматты чогултарын аныктаган.
Габи Кирлиг ошондой эле Xiaomi программалык камсыздоонун колдонулушун көзөмөлдөп жатат деп шектенүүдө, анткени ал колдонмолорду ачкан сайын алыскы серверге аз сандагы маалымат жөнөтүлөт. Forbes келтирген дагы бир анонимдүү изилдөөчүнүн айтымында, ал кытайлык компаниянын телефондору ушундай маалыматтарды кантип чогултканын да жазып алган. Xiaomi бул маселе боюнча комментарий берген жок.
Маалыматтар 2015-жылы негизделген жана колдонуучулардын жүрүм-турумун терең талдоо жана кесипкөй консалтинг кызматтарына багытталган кытайлык Sensors Analytics аналитикалык компаниясына (ошондой эле Sensors Data деп да аталат) жөнөтүлгөнү кабарланууда. Анын куралдары кардарларга негизги жүрүм-турум үлгүлөрүн изилдөө менен жашыруун маалыматтарды ачууга жардам берет. Xiaomi өкүлү стартап менен байланышты тастыктады: "Sensors Analytics Xiaomi үчүн маалыматтарды талдоо чечимин сунуштаса, чогултулган анонимдүү маалыматтар өзүнчө сакталат". серверлер Xiaomi компаниясы Sensors Analytics же башка үчүнчү тарап компаниялары менен бөлүшүлбөйт.
Source: 3dnews.ru
