Reuters har gitt ut en advarselsartikkel om at den kinesiske giganten Xiaomi registrerer personopplysningene til millioner av mennesker om deres online aktiviteter og enhetsbruk. "Det er en bakdør til funksjonaliteten til en telefon," sa Gabi Cirlig halvt på spøk om sin nye Xiaomi-smarttelefon.
Denne erfarne cybersikkerhetsforskeren snakket med Forbes etter å ha oppdaget at Redmi Note 8-smarttelefonen hans spionerte på alt han gjorde. Disse dataene ble deretter sendt til eksterne servere hostet av andre kinesiske teknologigiganten Alibaba, som sannsynligvis ble leid av Xiaomi.
Kirlig oppdaget at en alarmerende mengde informasjon om oppførselen hans ble sporet mens ulike typer data ble samlet inn fra enheten samtidig - spesialisten var forferdet over at detaljene om hans identitet og privatliv var fullt kjent for det kinesiske selskapet.
Da han surfet på nettsteder i standard Xiaomi-nettleseren på enheten, registrerte sistnevnte alle besøkte nettsteder, inkludert forespørsler fra søkemotorer, det være seg Google eller den personvernfokuserte DuckDuckGo, og alle elementer som ble sett i nyhetsstrømmen til Xiaomi-skallet var også tatt opp. Dessuten fungerte all denne overvåkingen selv når "inkognito"-modus ble brukt.
Enheten registrerte hvilke mapper som ble åpnet, hvilke skjermer som ble byttet, selv når det kom til statuslinjen og siden for enhetsinnstillinger. Alle data ble sendt i batcher til eksterne servere i Singapore og Russland, selv om servernes webdomener ble registrert i Beijing.
På forespørsel fra Forbes gjennomførte en annen cybersikkerhetsforsker, Andrew Tierney, sin egen undersøkelse. Han oppdaget også at nettleserne levert av Xiaomi på Google Play – Mi Browser Pro og Mint Browser – samler de samme dataene. I følge Google Play-statistikk har de til sammen blitt installert mer enn 15 millioner ganger, noe som betyr at millioner av enheter kan bli påvirket.
Problemene, ifølge Mr. Kirlig, gjelder et mye større antall modeller. Han lastet ned fastvare for andre Xiaomi-telefoner, inkludert Xiaomi Mi 10, Xiaomi Redmi K20 og Xiaomi Mi MIX 3, før han bekreftet at de bruker en identisk nettleser og sannsynligvis lider av de samme personvernproblemene.
Det ser også ut til å være problemer med måten Xiaomi overfører data til sine servere på. Selv om det kinesiske selskapet hevder at dataene er kryptert, fant Gabi Kirlig ut at han raskt kunne se hva som ble lastet ned fra enheten hans fordi krypteringen bruker den enkleste base64-algoritmen. Det tok bare noen få sekunder å konvertere datapakkene til lesbare informasjonsbiter. Han advarte også: "Min hovedbekymring angående personvern er at dataene som sendes til eksterne servere er veldig lett assosiert med en spesifikk bruker."
Som svar på funnene til de nevnte ekspertene sa en talsperson for Xiaomi at forskningspåstandene ikke er sanne, og personvern og sikkerhet er av største betydning, og selskapet følger strengt og er fullstendig i samsvar med lokale lover og forskrifter angående spørsmål om brukernes personvern. . Men talspersonen bekreftet at nettleserdata blir samlet inn, og sa at informasjonen er anonym og ikke knyttet til noen enkeltperson, og brukere samtykker til slik sporing.
Men som Gabi Kirlig og Andrew Tierney påpeker, var det ikke bare informasjon om besøkte nettsider eller Internett-søk som ble sendt til serveren: Xiaomi samlet også inn data om telefonen, inkludert unike numre for å identifisere en spesifikk enhet og versjon av Android. Slike metadata kan enkelt korreleres med den virkelige personen bak skjermen om ønskelig.
En talsperson for Xiaomi avviste også påstander om at nettleserdata blir registrert i inkognitomodus. Sikkerhetsforskere fant imidlertid i sine uavhengige tester at deres nettadferd sender meldinger til eksterne servere uavhengig av hvilken modus nettleseren kjører i, og gir både bilder og videoer som bevis.
Da Forbes-journalister ga Xiaomi en video som viser hvordan Google-søk og nettstedbesøk ble sendt til eksterne servere selv i inkognitomodus, fortsatte en talsperson for selskapet å benekte at informasjonen ble tatt opp: «Denne videoen demonstrerer innsamlingen av anonyme nettleserdata, som er en av de vanligste beslutningene tatt av internettselskaper for å forbedre den generelle nettleseropplevelsen ved å analysere ikke-personlig identifiserbar informasjon."
Sikkerhetseksperter mener imidlertid at oppførselen til Xiaomi-nettleseren er mye mer aggressiv enn andre populære nettlesere som Google Chrome eller Apple Safari: sistnevnte registrerer ikke nettleseratferd, inkludert nettadresser, uten brukerens uttrykkelige samtykke og i privat nettlesingsmodus.
I tillegg oppdaget Mr. Kirlig i sin forskning at musikkspilleren som er forhåndsinstallert på Xiaomi-smarttelefoner, samler informasjon om lyttevaner: hvilke sanger som spilles og når.
Gabi Kirlig mistenker også at Xiaomi overvåker programvarebruk fordi hver gang han åpner apper, sendes en liten mengde informasjon til en ekstern server. En annen anonym forsker sitert av Forbes sa at han også registrerte hvordan det kinesiske selskapets telefoner samlet inn lignende data. Xiaomi kommenterte ikke denne saken.
Dataene rapporteres å være sendt til det kinesiske analyseselskapet Sensors Analytics (også kjent som Sensors Data), som ble grunnlagt i 2015 og driver med dybdeanalyse av brukeratferd og tilbyr profesjonelle konsulenttjenester. Verktøyene hjelper klienter med å utforske skjulte data ved å undersøke viktige atferdsmønstre. En Xiaomi-talsperson bekreftet forbindelsen med oppstarten: "Selv om Sensors Analytics tilbyr en dataanalyseløsning for Xiaomi, lagres de innsamlede anonyme dataene på Xiaomis egne servere og vil ikke bli delt med Sensors Analytics eller andre tredjepartsselskaper."
Kilde: 3dnews.ru