Reuters parantos ngaluarkeun tulisan peringatan yén raksasa Cina Xiaomi ngarékam data pribadi jutaan jalma ngeunaan kagiatan online sareng panggunaan alat. "Ieu backdoor kana fungsionalitas telepon a,"Sa Gabi Cirlig, satengah guyonan, ngeunaan smartphone Xiaomi anyar na.
Panaliti cybersecurity anu berpengalaman ieu nyarios ka Forbes saatos mendakan yén smartphone Redmi Note 8 na spionase sadayana anu anjeunna laksanakeun. Data ieu lajeng dikirim ka server jauh hosted ku sasama buta téhnologi Cina Alibaba, nu dipikaresep disewa ku Xiaomi.
Mr Kirlig mendakan yén jumlah inpormasi anu pikasieuneun ngeunaan paripolahna dilacak bari rupa-rupa jinis data sakaligus dikumpulkeun tina alat éta - spesialis éta pikasieuneun yén detil identitas sareng kahirupan pribadina parantos dipikanyaho ku perusahaan Cina.
Nalika anjeunna ngotéktak situs wéb dina browser standar Xiaomi dina alat, anu terakhir ngarékam sadaya situs anu dilongok, kalebet patarosan ti mesin pencari, naha Google atanapi DuckDuckGo anu fokus kana privasi, sareng sadaya barang anu ditingali dina feed warta cangkang Xiaomi éta. ogé dirékam. Sumawona, sadaya panjagaan ieu tiasa dianggo sanajan modeu "incognito" dianggo.
Alat ngarékam polder mana anu dibuka, layar mana anu digentos, sanaos kana bar status sareng halaman setélan alat. Sadaya data dikirim dina bets ka server jauh di Singapura sareng Rusia, sanaos domain wéb server didaptarkeun di Beijing.
Dina pamundut Forbes, panalungtik cybersecurity sejen, Andrew Tierney, ngalaksanakeun panalungtikan sorangan. Anjeunna ogé mendakan yén browser anu disayogikeun ku Xiaomi dina Google Play - Mi Browser Pro sareng Mint Browser - ngumpulkeun data anu sami. Numutkeun statistik Google Play, babarengan aranjeunna parantos dipasang langkung ti 15 juta kali, hartosna jutaan alat tiasa kapangaruhan.
Masalahna, numutkeun Bapak Kirlig, dilarapkeun ka sajumlah modél anu langkung ageung. Anjeunna ngaunduh firmware pikeun telepon Xiaomi anu sanés, kalebet Xiaomi Mi 10, Xiaomi Redmi K20 sareng Xiaomi Mi MIX 3, sateuacan mastikeun yén aranjeunna nganggo browser anu idéntik sareng kamungkinan ngalaman masalah privasi anu sami.
Aya ogé sigana kasusah dina cara Xiaomi nransper data ka server na. Sanaos perusahaan Cina nyatakeun yén data énkripsi, Gabi Kirlig mendakan yén anjeunna tiasa gancang ningali naon anu diunduh tina alatna kusabab énkripsi ngagunakeun algoritma base64 pangbasajanna. Ngan ukur butuh sababaraha detik pikeun ngarobih pakét data janten inpormasi anu tiasa dibaca. Anjeunna ogé ngingetkeun: "Perhatian utama kuring ngeunaan privasi nyaéta yén data anu dikirim ka server jauh gampang pisan pakait sareng pangguna khusus."
Salaku tanggepan kana panemuan para ahli anu nyarios, juru bicara Xiaomi nyarios yén klaim panalungtikan henteu leres, sareng privasi sareng kaamanan penting pisan, sareng perusahaan leres-leres patuh sareng sapinuhna patuh kana undang-undang sareng peraturan lokal ngeunaan masalah privasi pangguna. . Tapi juru carios éta negeskeun yén data browsing dikumpulkeun, nyatakeun inpormasi éta anonim sareng henteu aya hubunganana sareng individu, sareng pangguna satuju kana pelacak sapertos kitu.
Tapi sakumaha nunjukkeun Gabi Kirlig sareng Andrew Tierney, sanés ngan ukur inpormasi ngeunaan situs wéb anu dilongok atanapi milarian Internét anu dikirim ka server: Xiaomi ogé ngumpulkeun data ngeunaan telepon, kalebet nomer unik pikeun ngaidentipikasi alat khusus sareng versi Android. Metadata sapertos kitu tiasa gampang dihubungkeun sareng jalma nyata di tukangeun layar upami hoyong.
Juru bicara Xiaomi ogé nampik klaim yén data browsing dirékam dina modeu incognito. Sanajan kitu, peneliti kaamanan kapanggih dina tés bebas maranéhna yén kabiasaan online maranéhanana ngirimkeun pesen ka server jauh paduli mode naon browser ngajalankeun, nyadiakeun duanana poto jeung video salaku bukti.
Nalika wartawan Forbes masihan Xiaomi pidéo anu nunjukkeun kumaha panéangan Google sareng kunjungan halaman wéb dikirim ka server jauh sanajan dina modeu incognito, juru carios perusahaan terus nampik yén inpormasi éta dirékam: "Video ieu nunjukkeun kumpulan data browsing anonim, anu mangrupa salah sahiji kaputusan paling umum dijieun ku pausahaan Internet pikeun ngaronjatkeun pangalaman browsing sakabéh ku cara analisa informasi non-pribadi diwanoh."
Nanging, para ahli kaamanan yakin yén paripolah browser Xiaomi langkung agrésif tibatan browser populér sanés sapertos Google Chrome atanapi Apple Safari: anu terakhir henteu ngarékam paripolah browser, kalebet URL, tanpa idin eksplisit pangguna sareng dina mode browsing pribadi.
Salaku tambahan, dina panalungtikanana, Mr. Kirlig mendakan yén pamuter musik anu tos dipasang dina smartphone Xiaomi ngumpulkeun inpormasi ngeunaan kabiasaan ngadangukeun: lagu mana anu dimaénkeun sareng iraha.
Gabi Kirlig ogé curiga yén Xiaomi ngawaskeun panggunaan parangkat lunak sabab unggal waktos anjeunna muka aplikasi, sakedik inpormasi dikirim ka server jauh. Panaliti anonim anu dicutat ku Forbes nyarios yén anjeunna ogé ngarékam kumaha telepon perusahaan Cina ngumpulkeun data anu sami. Xiaomi henteu masihan koméntar ngeunaan masalah ieu.
Data dilaporkeun dikirim ka perusahaan analitik Cina Sensor Analytics (ogé katelah Data Sensor), anu diadegkeun dina 2015 sareng kalibet dina analisa anu jero ngeunaan paripolah pangguna sareng nyayogikeun jasa konsultasi profésional. Alatna ngabantosan klien ngajalajah data anu disumputkeun ku cara mariksa pola paripolah konci. Juru bicara Xiaomi negeskeun hubungan sareng ngamimitian: "Sanaos Sensor Analytics nyayogikeun solusi analitik data pikeun Xiaomi, data anonim anu dikumpulkeun disimpen dina server Xiaomi sorangan sareng moal dibagikeun sareng Sensor Analytics atanapi perusahaan pihak katilu anu sanés."
sumber: 3dnews.ru