Reuters ka publikuar një artikull paralajmërues se gjigandi kinez Xiaomi po regjistron të dhënat personale të miliona njerëzve në lidhje me aktivitetet e tyre në internet dhe përdorimin e pajisjes. "Është një derë e pasme e funksionalitetit të një telefoni," tha Gabi Cirlig, me gjysmë shaka, për telefonin e tij të ri Xiaomi.
Ky studiues me përvojë i sigurisë kibernetike foli me Forbes pasi zbuloi se smartphone i tij Redmi Note 8 po spiunonte gjithçka që ai bënte. Këto të dhëna më pas u dërguan në serverët në distancë të organizuar nga gjigandi kinez i teknologjisë Alibaba, të cilët me gjasë ishin marrë me qira nga Xiaomi.
Z. Kirlig zbuloi se një sasi alarmante informacioni rreth sjelljes së tij po gjurmohej ndërsa lloje të ndryshme të dhënash mblidheshin njëkohësisht nga pajisja - specialisti ishte i tmerruar që detajet e identitetit dhe jetës së tij private ishin plotësisht të njohura për kompaninë kineze.
Kur ai shfletonte faqet e internetit në shfletuesin e paracaktuar Xiaomi në pajisje, ky i fundit regjistroi të gjitha faqet e vizituara, duke përfshirë pyetjet nga motorët e kërkimit, qoftë Google apo DuckDuckGo i fokusuar në privatësi, dhe të gjithë artikujt e parë në burimin e lajmeve të guaskës Xiaomi ishin të regjistruara gjithashtu. Për më tepër, e gjithë kjo mbikëqyrje funksionoi edhe kur përdorej modaliteti "incognito".
Pajisja regjistroi se cilat dosje u hapën, cilat ekrane u ndërruan, edhe kur bëhej fjalë për shiritin e statusit dhe faqen e cilësimeve të pajisjes. Të gjitha të dhënat u dërguan në grupe në serverët e largët në Singapor dhe Rusi, megjithëse domenet e internetit të serverëve u regjistruan në Pekin.
Me kërkesë të Forbes, një tjetër studiues i sigurisë kibernetike, Andrew Tierney, kreu hetimin e tij. Ai gjithashtu zbuloi se shfletuesit e ofruar nga Xiaomi në Google Play - Mi Browser Pro dhe Mint Browser - mbledhin të njëjtat të dhëna. Sipas statistikave të Google Play, së bashku ato janë instaluar më shumë se 15 milionë herë, që do të thotë se miliona pajisje mund të preken.
Problemet, sipas zotit Kirlig, vlejnë për një numër shumë më të madh modelesh. Ai shkarkoi firmware për telefonat e tjerë Xiaomi, duke përfshirë Xiaomi Mi 10, Xiaomi Redmi K20 dhe Xiaomi Mi MIX 3, përpara se të konfirmonte se ata përdorin një shfletues identik dhe ka të ngjarë të vuajnë nga të njëjtat probleme të privatësisë.
Duket gjithashtu se ka vështirësi me mënyrën se si Xiaomi transferon të dhënat në serverët e saj. Edhe pse kompania kineze pretendon se të dhënat janë të koduara, Gabi Kirlig zbuloi se ai mund të shihte shpejt atë që ishte shkarkuar nga pajisja e tij, sepse kriptimi përdor algoritmin më të thjeshtë base64. U deshën vetëm disa sekonda për të kthyer paketat e të dhënave në pjesë të lexueshme informacioni. Ai gjithashtu paralajmëroi: "Shqetësimi im kryesor në lidhje me privatësinë është se të dhënat e dërguara në serverë të largët lidhen shumë lehtë me një përdorues specifik."
Në përgjigje të gjetjeve të ekspertëve të përmendur, një zëdhënës i Xiaomi tha se pretendimet e hulumtimit nuk janë të vërteta, dhe privatësia dhe siguria janë të një rëndësie të madhe, dhe kompania i përmbahet rreptësisht dhe është plotësisht në përputhje me ligjet dhe rregulloret lokale në lidhje me çështjet e privatësisë së përdoruesit. . Por zëdhënësi konfirmoi se të dhënat e shfletimit po mblidhen, duke thënë se informacioni është anonim dhe nuk lidhet me asnjë individ dhe përdoruesit pranojnë një gjurmim të tillë.
Por siç theksojnë Gabi Kirlig dhe Andrew Tierney, nuk ishin vetëm informacione rreth faqeve të vizituara ose kërkimeve në internet që u dërguan në server: Xiaomi gjithashtu mblodhi të dhëna për telefonin, duke përfshirë numra unikë për të identifikuar një pajisje dhe version specifik të Android. Të dhëna të tilla meta mund të lidhen lehtësisht me personin real pas ekranit nëse dëshironi.
Një zëdhënës i Xiaomi hodhi poshtë gjithashtu pretendimet se të dhënat e shfletimit po regjistrohen në modalitetin incognito. Sidoqoftë, studiuesit e sigurisë zbuluan në testet e tyre të pavarura se sjellja e tyre në internet dërgon mesazhe në serverë të largët, pavarësisht se në çfarë modaliteti funksionon shfletuesi, duke ofruar si provë fotot dhe videot.
Kur gazetarët e Forbes i siguruan Xiaomit një video që tregon se si kërkimet e Google dhe vizitat në uebsajt dërgoheshin në serverë të largët edhe në modalitetin inkonjito, një zëdhënës i kompanisë vazhdoi të mohonte se informacioni ishte duke u regjistruar: "Kjo video tregon mbledhjen e të dhënave anonime të shfletimit, të cilat është një nga vendimet më të zakonshme të marra nga kompanitë e internetit për të përmirësuar përvojën e përgjithshme të shfletimit duke analizuar informacione jo-personale të identifikueshme."
Megjithatë, ekspertët e sigurisë besojnë se sjellja e shfletuesit Xiaomi është shumë më agresive se shfletuesit e tjerë të njohur si Google Chrome ose Apple Safari: këta të fundit nuk regjistrojnë sjelljen e shfletuesit, përfshirë URL-të, pa pëlqimin e qartë të përdoruesit dhe në modalitetin e shfletimit privat.
Përveç kësaj, në kërkimin e tij, Z. Kirlig zbuloi se riprodhuesi muzikor i para-instaluar në telefonat inteligjentë Xiaomi mbledh informacion rreth zakoneve të dëgjimit: cilat këngë luhen dhe kur.
Gabi Kirlig dyshon gjithashtu se Xiaomi po monitoron përdorimin e softuerit sepse sa herë që ai hap aplikacione, një sasi e vogël informacioni dërgohet në një server të largët. Një tjetër studiues anonim i cituar nga Forbes tha se ai gjithashtu regjistroi se si telefonat e kompanisë kineze mblidhnin të dhëna të ngjashme. Xiaomi nuk ka komentuar për këtë çështje.
Të dhënat raportohet se do t'i dërgohen kompanisë kineze të analitikës Sensors Analytics (e njohur edhe si Sensors Data), e cila u themelua në vitin 2015 dhe është e angazhuar në analizën e thelluar të sjelljes së përdoruesit dhe ofrimin e shërbimeve profesionale të këshillimit. Mjetet e tij i ndihmojnë klientët të eksplorojnë të dhënat e fshehura duke ekzaminuar modelet kryesore të sjelljes. Një zëdhënës i Xiaomi konfirmoi lidhjen me startupin: “Edhe pse Sensors Analytics ofron një zgjidhje analitike të të dhënave për Xiaomi, të dhënat anonime të mbledhura ruhen në serverët e vetë Xiaomi dhe nuk do të ndahen me Sensors Analytics ose ndonjë kompani tjetër të palës së tretë”.
Burimi: 3dnews.ru