Reuters opublikował artykuł ostrzegający, że chiński gigant Xiaomi rejestruje dane osobowe milionów ludzi dotyczące ich aktywności w Internecie i korzystania z urządzeń. „To tylne drzwi do funkcjonalności telefonu” – półżartem stwierdziła Gabi Cirlig o swoim nowym smartfonie Xiaomi.
Ten doświadczony badacz cyberbezpieczeństwa rozmawiał z „Forbesem” po odkryciu, że jego smartfon Redmi Note 8 szpieguje wszystko, co robi. Dane te zostały następnie przesłane na zdalne serwery hostowane przez innego chińskiego giganta technologicznego Alibaba, które prawdopodobnie zostały wynajęte przez Xiaomi.
Pan Kirlig odkrył, że śledzona jest zatrważająca ilość informacji na temat jego zachowania, przy jednoczesnym pobieraniu z urządzenia różnego rodzaju danych – specjalista był przerażony, że szczegóły dotyczące jego tożsamości i życia prywatnego były w pełni znane chińskiej firmie.
Kiedy przeglądał strony internetowe w domyślnej przeglądarce Xiaomi na urządzeniu, ta ostatnia rejestrowała wszystkie odwiedzane strony, w tym zapytania z wyszukiwarek, czy to Google, czy nastawionej na prywatność DuckDuckGo, a wszystkie elementy przeglądane w kanale wiadomości powłoki Xiaomi były również nagrany. Co więcej, cały ten nadzór działał nawet wtedy, gdy używany był tryb „incognito”.
Urządzenie rejestrowało, które foldery zostały otwarte, które ekrany zostały przełączone, nawet jeśli chodziło o pasek stanu i stronę ustawień urządzenia. Wszystkie dane zostały przesłane partiami do zdalnych serwerów w Singapurze i Rosji, chociaż domeny internetowe serwerów były zarejestrowane w Pekinie.
Na prośbę „Forbesa” własne dochodzenie przeprowadził inny badacz cyberbezpieczeństwa, Andrew Tierney. Odkrył także, że przeglądarki dostarczane przez Xiaomi w Google Play – Mi Browser Pro i Mint Browser – zbierają te same dane. Według statystyk Google Play, łącznie zostały one zainstalowane ponad 15 milionów razy, co oznacza, że mogą one dotyczyć milionów urządzeń.
Problemy, zdaniem pana Kirliga, dotyczą znacznie większej liczby modeli. Pobrał oprogramowanie wewnętrzne dla innych telefonów Xiaomi, w tym Xiaomi Mi 10, Xiaomi Redmi K20 i Xiaomi Mi MIX 3, zanim potwierdził, że korzystają one z identycznej przeglądarki i prawdopodobnie cierpią z powodu tych samych problemów związanych z prywatnością.
Wydaje się, że występują również trudności ze sposobem przesyłania danych przez Xiaomi na swoje serwery. Choć chińska firma twierdzi, że dane są szyfrowane, Gabi Kirlig stwierdziła, że może szybko sprawdzić, co zostało pobrane z jego urządzenia, ponieważ szyfrowanie wykorzystuje najprostszy algorytm base64. Przekształcenie pakietów danych w czytelne informacje zajęło tylko kilka sekund. Ostrzegł również: „Moją główną obawą dotyczącą prywatności jest to, że dane wysyłane na zdalne serwery można bardzo łatwo powiązać z konkretnym użytkownikiem”.
W odpowiedzi na ustalenia wspomnianych ekspertów rzecznik Xiaomi powiedział, że twierdzenia badawcze nie są prawdziwe, a prywatność i bezpieczeństwo mają ogromne znaczenie, a firma ściśle przestrzega i jest w pełni zgodna z lokalnymi przepisami i regulacjami dotyczącymi kwestii prywatności użytkowników . Rzecznik potwierdził jednak, że gromadzone są dane przeglądania, twierdząc, że są one anonimowe i niepowiązane z żadną osobą, a użytkownicy wyrażają zgodę na takie śledzenie.
Ale jak podkreślają Gabi Kirlig i Andrew Tierney, na serwer nie były tylko informacje o odwiedzanych stronach internetowych czy wyszukiwaniach w Internecie: Xiaomi zbierało także dane o telefonie, w tym unikalne numery umożliwiające identyfikację konkretnego urządzenia i wersji Androida. W razie potrzeby takie metadane można łatwo powiązać z prawdziwą osobą znajdującą się za ekranem.
Rzecznik Xiaomi odrzucił również twierdzenia, że dane przeglądania są rejestrowane w trybie incognito. Jednak badacze bezpieczeństwa odkryli w swoich niezależnych testach, że ich zachowanie w Internecie wysyła wiadomości do zdalnych serwerów niezależnie od trybu, w jakim działa przeglądarka, dostarczając jako dowód zarówno zdjęcia, jak i filmy.
Kiedy dziennikarze „Forbesa” przekazali Xiaomi film pokazujący, jak wyszukiwania w Google i wizyty w witrynach internetowych były wysyłane na zdalne serwery nawet w trybie incognito, rzecznik firmy w dalszym ciągu zaprzeczał, jakoby informacje były rejestrowane: „Ten film przedstawia gromadzenie anonimowych danych przeglądania, które to jedna z najczęstszych decyzji podejmowanych przez firmy internetowe w celu poprawy ogólnego komfortu przeglądania poprzez analizę informacji nieosobowych.
Eksperci ds. bezpieczeństwa uważają jednak, że zachowanie przeglądarki Xiaomi jest znacznie bardziej agresywne niż innych popularnych przeglądarek, takich jak Google Chrome czy Apple Safari: te ostatnie nie rejestrują zachowania przeglądarki, w tym adresów URL, bez wyraźnej zgody użytkownika i w trybie przeglądania prywatnego.
Ponadto w swoich badaniach pan Kirlig odkrył, że odtwarzacz muzyki preinstalowany w smartfonach Xiaomi zbiera informacje o nawykach słuchania: jakie utwory są odtwarzane i kiedy.
Gabi Kirlig podejrzewa również, że Xiaomi monitoruje użycie oprogramowania, ponieważ za każdym razem, gdy otwiera aplikacje, niewielka ilość informacji jest wysyłana do zdalnego serwera. Inny anonimowy badacz cytowany przez „Forbesa” powiedział, że również odnotował, w jaki sposób telefony chińskiej firmy zbierały podobne dane. Xiaomi nie skomentowało tej sprawy.
Zgłasza się, że dane są przesyłane do chińskiej firmy analitycznej Sensors Analytics (znanej również jako Sensors Data), która została założona w 2015 roku i zajmuje się dogłębną analizą zachowań użytkowników oraz świadczeniem profesjonalnych usług doradczych. Jego narzędzia pomagają klientom eksplorować ukryte dane poprzez badanie kluczowych wzorców zachowań. Rzecznik Xiaomi potwierdził powiązanie ze startupem: „Chociaż Sensors Analytics zapewnia rozwiązanie do analizy danych dla Xiaomi, zebrane anonimowe dane są przechowywane na własnych serwerach Xiaomi i nie będą udostępniane Sensors Analytics ani żadnym innym firmom zewnętrznym”.
Źródło: 3dnews.ru