Reuters har släppt en varningsartikel om att den kinesiska jätten Xiaomi registrerar personuppgifter från miljontals människor om deras onlineaktiviteter och enhetsanvändning. "Det är en bakdörr till funktionaliteten hos en telefon", sa Gabi Cirlig halvt på skämt om sin nya Xiaomi-smarttelefon.
Den här rutinerade cybersäkerhetsforskaren pratade med Forbes efter att ha upptäckt att hans Redmi Note 8-smarttelefon spionerade på allt han gjorde. Dessa data skickades sedan till fjärrservrar som var värd för andra kinesiska teknikjätten Alibaba, som troligen hyrdes av Xiaomi.
Herr Kirlig upptäckte att en oroväckande mängd information om hans beteende spårades samtidigt som olika typer av data samlades in från enheten - specialisten var förskräckt över att detaljer om hans identitet och privatliv var helt kända för det kinesiska företaget.
När han bläddrade på webbplatser i den förinställda Xiaomi-webbläsaren på enheten, registrerade den senare alla besökta webbplatser, inklusive frågor från sökmotorer, vare sig det är Google eller den integritetsfokuserade DuckDuckGo, och alla objekt som visades i nyhetsflödet av Xiaomi-skalet var också inspelad. Dessutom fungerade all denna övervakning även när "inkognito"-läget användes.
Enheten registrerade vilka mappar som öppnades, vilka skärmar som byttes, även när det kom till statusfältet och sidan för enhetsinställningar. All data skickades i omgångar till fjärrservrar i Singapore och Ryssland, även om servrarnas webbdomäner var registrerade i Peking.
På Forbes begäran gjorde en annan cybersäkerhetsforskare, Andrew Tierney, sin egen utredning. Han upptäckte också att webbläsarna som tillhandahålls av Xiaomi på Google Play - Mi Browser Pro och Mint Browser - samlar in samma data. Enligt statistik från Google Play har de tillsammans installerats mer än 15 miljoner gånger, vilket innebär att miljontals enheter kan påverkas.
Problemen, enligt Kirlig, gäller ett mycket större antal modeller. Han laddade ner firmware för andra Xiaomi-telefoner, inklusive Xiaomi Mi 10, Xiaomi Redmi K20 och Xiaomi Mi MIX 3, innan han bekräftade att de använder en identisk webbläsare och troligen lider av samma integritetsproblem.
Det verkar också finnas svårigheter med hur Xiaomi överför data till sina servrar. Även om det kinesiska företaget hävdar att datan är krypterad, fann Gabi Kirlig att han snabbt kunde se vad som laddades ner från hans enhet eftersom krypteringen använder den enklaste base64-algoritmen. Det tog bara några sekunder att konvertera datapaketen till läsbara informationsbitar. Han varnade också: "Mitt främsta bekymmer angående integritet är att data som skickas till fjärrservrar mycket lätt kan kopplas till en specifik användare."
Som svar på resultaten från nämnda experter sa en talesperson för Xiaomi att forskningspåståendena inte är sanna, och att integritet och säkerhet är av största vikt, och att företaget strikt följer och följer lokala lagar och förordningar angående användarintegritetsfrågor. . Men talespersonen bekräftade att webbläsardata samlas in och sa att informationen är anonym och inte knuten till någon individ, och användarna samtycker till sådan spårning.
Men som Gabi Kirlig och Andrew Tierney påpekar var det inte bara information om besökta webbplatser eller internetsökningar som skickades till servern: Xiaomi samlade också in data om telefonen, inklusive unika nummer för att identifiera en specifik enhet och version av Android. Sådan metadata kan enkelt korreleras med den verkliga personen bakom skärmen om så önskas.
En talesman för Xiaomi förnekade också påståenden om att webbläsardata spelas in i inkognitoläge. Säkerhetsforskare fann dock i sina oberoende tester att deras onlinebeteende skickar meddelanden till fjärrservrar oavsett vilket läge webbläsaren körs i, vilket ger både foton och videor som bevis.
När Forbes-journalister försåg Xiaomi med en video som visar hur Google-sökningar och webbplatsbesök skickades till fjärrservrar även i inkognitoläge, fortsatte en talesperson för företaget att förneka att informationen spelades in: "Denna video visar insamlingen av anonyma webbläsardata, som är ett av de vanligaste besluten som tas av internetföretag för att förbättra den övergripande surfupplevelsen genom att analysera icke-personligt identifierbar information."
Säkerhetsexperter tror dock att beteendet hos Xiaomi-webbläsaren är mycket mer aggressivt än andra populära webbläsare som Google Chrome eller Apple Safari: de senare registrerar inte webbläsarbeteende, inklusive webbadresser, utan användarens uttryckliga medgivande och i privat surfläge.
Dessutom upptäckte Kirlig i sin forskning att musikspelaren som är förinstallerad på Xiaomi-smarttelefoner samlar information om lyssnarvanor: vilka låtar som spelas och när.
Gabi Kirlig misstänker också att Xiaomi övervakar programanvändning eftersom varje gång han öppnar appar skickas en liten mängd information till en fjärrserver. En annan anonym forskare som citeras av Forbes sa att han också spelade in hur det kinesiska företagets telefoner samlade in liknande data. Xiaomi kommenterade inte denna fråga.
Uppgifterna rapporteras skickas till det kinesiska analysföretaget Sensors Analytics (även känt som Sensors Data), som grundades 2015 och är engagerat i djupgående analyser av användarbeteende och tillhandahåller professionella konsulttjänster. Dess verktyg hjälper kunder att utforska dolda data genom att undersöka viktiga beteendemönster. En talesman för Xiaomi bekräftade kopplingen till uppstarten: "Även om Sensors Analytics tillhandahåller en dataanalyslösning för Xiaomi, lagras den insamlade anonyma informationen på Xiaomis egna servrar och kommer inte att delas med Sensors Analytics eller några andra tredjepartsföretag."
Källa: 3dnews.ru