Reuters izplatījis brīdinājuma rakstu, ka Ķīnas gigants Xiaomi reģistrē miljoniem cilvēku personas datus par viņu darbībām tiešsaistē un ierīču lietošanu. "Tās ir aizmugures durvis tālruņa funkcionalitātei," par savu jauno Xiaomi viedtālruni pa pusei jokojot sacīja Gabi Cirligs.
Šis pieredzējušais kiberdrošības pētnieks runāja ar Forbes pēc tam, kad atklāja, ka viņa viedtālrunis Redmi Note 8 izspiego visu, ko viņš darīja. Pēc tam šie dati tika nosūtīti uz attāliem serveriem, ko mitināja cits Ķīnas tehnoloģiju gigants Alibaba, kurus, iespējams, nomāja Xiaomi.
Kirligs atklāja, ka tiek izsekots satraucoši daudz informācijas par viņa uzvedību, vienlaikus no ierīces ievācot dažāda veida datus – speciālists bija šausmās, ka Ķīnas kompānijai pilnībā zināmas viņa identitātes un privātās dzīves detaļas.
Kad viņš pārlūkoja vietnes ierīces noklusējuma Xiaomi pārlūkprogrammā, pēdējā ierakstīja visas apmeklētās vietnes, tostarp vaicājumus no meklētājprogrammām, neatkarīgi no tā, vai tas būtu Google vai uz privātumu orientētais DuckDuckGo, un visi vienumi, kas tika skatīti Xiaomi apvalka ziņu plūsmā arī ierakstīts. Turklāt visa šī uzraudzība darbojās pat tad, ja tika izmantots “inkognito” režīms.
Ierīce reģistrēja, kuras mapes tika atvērtas, kuri ekrāni tika pārslēgti, pat ja tika atvērta statusa josla un ierīces iestatījumu lapa. Visi dati tika nosūtīti pa partijām uz attāliem serveriem Singapūrā un Krievijā, lai gan serveru tīmekļa domēni tika reģistrēti Pekinā.
Pēc Forbes lūguma cits kiberdrošības pētnieks Endrjū Tīrnijs veica pats savu izmeklēšanu. Viņš arī atklāja, ka Xiaomi nodrošinātās pārlūkprogrammas pakalpojumā Google Play — Mi Browser Pro un Mint Browser — apkopo vienus un tos pašus datus. Saskaņā ar Google Play statistiku, tie kopā ir instalēti vairāk nekā 15 miljonus reižu, kas nozīmē, ka var tikt ietekmēti miljoniem ierīču.
Problēmas, pēc Kirlig kunga domām, attiecas uz daudz lielāku modeļu skaitu. Viņš lejupielādēja programmaparatūru citiem Xiaomi tālruņiem, tostarp Xiaomi Mi 10, Xiaomi Redmi K20 un Xiaomi Mi MIX 3, pirms apstiprināja, ka tie izmanto identisku pārlūkprogrammu un, iespējams, cieš no tām pašām privātuma problēmām.
Šķiet, ka ir arī grūtības ar veidu, kā Xiaomi pārsūta datus uz saviem serveriem. Lai gan Ķīnas uzņēmums apgalvo, ka dati ir šifrēti, Gabi Kirligs atklāja, ka var ātri redzēt, kas tika lejupielādēts no viņa ierīces, jo šifrēšanai tiek izmantots vienkāršākais base64 algoritms. Bija nepieciešamas tikai dažas sekundes, lai datu paketes pārvērstu lasāmās informācijas daļās. Viņš arī brīdināja: "Manas galvenās bažas par privātumu rada tas, ka uz attālajiem serveriem nosūtītie dati ir ļoti viegli saistīti ar konkrētu lietotāju."
Atbildot uz minēto ekspertu konstatējumiem, Xiaomi pārstāvis sacīja, ka pētījuma apgalvojumi nav patiesi, un privātums un drošība ir ārkārtīgi svarīgas, un uzņēmums stingri ievēro un pilnībā ievēro vietējos likumus un noteikumus par lietotāju privātuma jautājumiem. . Taču pārstāvis apstiprināja, ka pārlūkošanas dati tiek vākti, sakot, ka informācija ir anonīma un nav saistīta ar nevienu personu, un lietotāji piekrīt šādai izsekošana.
Taču, kā norāda Gabi Kirlig un Endrjū Tīrnijs, uz serveri tika nosūtīta ne tikai informācija par apmeklētajām vietnēm vai interneta meklējumiem: Xiaomi ievāca arī datus par tālruni, tostarp unikālus numurus, lai identificētu konkrētu ierīci un Android versiju. Ja vēlaties, šādus metadatus var viegli korelēt ar reālo personu aiz ekrāna.
Xiaomi pārstāvis arī noraidīja apgalvojumus, ka pārlūkošanas dati tiek ierakstīti inkognito režīmā. Tomēr drošības pētnieki savos neatkarīgajos testos atklāja, ka viņu tiešsaistes uzvedība nosūta ziņojumus uz attāliem serveriem neatkarīgi no pārlūkprogrammas darbības režīma, kā pierādījumu sniedzot gan fotoattēlus, gan videoklipus.
Kad Forbes žurnālisti sniedza Xiaomi video, kurā redzams, kā Google meklēšanas vaicājumi un vietņu apmeklējumi tika nosūtīti uz attālajiem serveriem pat inkognito režīmā, uzņēmuma pārstāvis turpināja noliegt, ka informācija tiktu ierakstīta: “Šis video demonstrē anonīmu pārlūkošanas datu vākšanu, kas ir viens no visbiežāk pieņemtajiem lēmumiem, ko interneta uzņēmumi pieņem, lai uzlabotu vispārējo pārlūkošanas pieredzi, analizējot personu neidentificējošu informāciju.
Tomēr drošības eksperti uzskata, ka Xiaomi pārlūkprogrammas uzvedība ir daudz agresīvāka nekā citām populārām pārlūkprogrammām, piemēram, Google Chrome vai Apple Safari: pēdējās bez lietotāja nepārprotamas piekrišanas un privātās pārlūkošanas režīmā nereģistrē pārlūkprogrammas uzvedību, tostarp URL.
Turklāt, veicot pētījumu, Kirligs atklāja, ka Xiaomi viedtālruņos iepriekš instalētais mūzikas atskaņotājs apkopo informāciju par klausīšanās paradumiem: kuras dziesmas un kad tiek atskaņotas.
Gabijam Kirligam ir arī aizdomas, ka Xiaomi uzrauga programmatūras lietošanu, jo katru reizi, kad viņš atver lietotnes, uz attālo serveri tiek nosūtīts neliels informācijas apjoms. Cits anonīms pētnieks, uz kuru atsaucās Forbes, sacīja, ka viņš arī ierakstīja, kā Ķīnas uzņēmuma tālruņi savāca līdzīgus datus. Xiaomi nekomentēja šo lietu.
Tiek ziņots, ka dati tiek nosūtīti Ķīnas analītikas uzņēmumam Sensors Analytics (pazīstams arī kā Sensors Data), kas dibināts 2015. gadā un nodarbojas ar lietotāju uzvedības padziļinātu analīzi un sniedz profesionālus konsultāciju pakalpojumus. Tās rīki palīdz klientiem izpētīt slēptos datus, pārbaudot galvenos uzvedības modeļus. Xiaomi pārstāvis apstiprināja saistību ar startēšanu: "Lai gan Sensors Analytics nodrošina Xiaomi datu analīzes risinājumu, savāktie anonīmie dati tiek glabāti paša Xiaomi serveros un netiks kopīgoti ar Sensors Analytics vai citiem trešo pušu uzņēmumiem."
Avots: 3dnews.ru