รอยเตอร์ได้เผยแพร่บทความคำเตือนว่า Xiaomi ยักษ์ใหญ่ของจีนกำลังบันทึกข้อมูลส่วนบุคคลของผู้คนหลายล้านคนเกี่ยวกับกิจกรรมออนไลน์และการใช้งานอุปกรณ์ของพวกเขา “มันเป็นประตูหลังสำหรับการทำงานของโทรศัพท์” Gabi Cirlig กล่าวอย่างล้อเล่นเกี่ยวกับสมาร์ทโฟน Xiaomi เครื่องใหม่ของเขา
นักวิจัยด้านความปลอดภัยทางไซเบอร์ผู้ช่ำชองคนนี้ได้พูดคุยกับ Forbes หลังจากพบว่าสมาร์ทโฟน Redmi Note 8 ของเขากำลังสอดแนมทุกอย่างที่เขาทำ จากนั้นข้อมูลนี้จะถูกส่งไปยังเซิร์ฟเวอร์ระยะไกลที่โฮสต์โดยอาลีบาบายักษ์ใหญ่ด้านเทคโนโลยีของจีน ซึ่งมีแนวโน้มว่าจะให้เช่าโดย Xiaomi
นาย Kirlig ค้นพบว่าข้อมูลจำนวนที่น่าตกใจเกี่ยวกับพฤติกรรมของเขากำลังถูกติดตามในขณะที่ข้อมูลประเภทต่างๆ ถูกรวบรวมจากอุปกรณ์พร้อมกัน ผู้เชี่ยวชาญคนนี้รู้สึกตกใจมากที่บริษัทจีนทราบรายละเอียดเกี่ยวกับตัวตนและชีวิตส่วนตัวของเขาโดยสมบูรณ์
เมื่อเขาเรียกดูเว็บไซต์ในเบราว์เซอร์ Xiaomi เริ่มต้นบนอุปกรณ์ เบราว์เซอร์หลังจะบันทึกเว็บไซต์ทั้งหมดที่เยี่ยมชม รวมถึงข้อความค้นหาจากเครื่องมือค้นหา ไม่ว่าจะเป็น Google หรือ DuckDuckGo ที่เน้นความเป็นส่วนตัว และยังบันทึกรายการทั้งหมดที่ดูในฟีดข่าวของ เปลือกเสี่ยวมี่ นอกจากนี้ การเฝ้าระวังทั้งหมดนี้ยังใช้งานได้แม้ว่าจะใช้โหมด "ไม่ระบุตัวตน" ก็ตาม
อุปกรณ์จะบันทึกโฟลเดอร์ที่เปิดอยู่ หน้าจอใดที่ถูกสลับ แม้ว่าจะอยู่ที่แถบสถานะและหน้าการตั้งค่าอุปกรณ์ก็ตาม ข้อมูลทั้งหมดถูกส่งเป็นชุดไปยังเซิร์ฟเวอร์ระยะไกลในสิงคโปร์และรัสเซีย แม้ว่าโดเมนเว็บของเซิร์ฟเวอร์จะจดทะเบียนในกรุงปักกิ่งก็ตาม
ตามคำร้องขอของ Forbes Andrew Tierney นักวิจัยด้านความปลอดภัยทางไซเบอร์อีกคนได้ดำเนินการสอบสวนของเขาเอง นอกจากนี้เขายังค้นพบว่าเบราว์เซอร์ที่ Xiaomi จัดทำบน Google Play - Mi Browser Pro และ Mint Browser - รวบรวมข้อมูลเดียวกัน ตามสถิติของ Google Play มีการติดตั้งร่วมกันมากกว่า 15 ล้านครั้ง ซึ่งหมายความว่าอุปกรณ์หลายล้านเครื่องอาจได้รับผลกระทบ
นาย Kirlig กล่าวว่าปัญหาดังกล่าวเกิดขึ้นกับโมเดลจำนวนมากกว่ามาก เขาดาวน์โหลดเฟิร์มแวร์สำหรับโทรศัพท์ Xiaomi อื่นๆ รวมถึง Xiaomi Mi 10, Xiaomi Redmi K20 และ Xiaomi Mi MIX 3 ก่อนที่จะยืนยันว่าพวกเขาใช้เบราว์เซอร์ที่เหมือนกันและอาจประสบปัญหาความเป็นส่วนตัวเดียวกัน
ดูเหมือนจะมีปัญหากับวิธีที่ Xiaomi ถ่ายโอนข้อมูลไปยังเซิร์ฟเวอร์ของตน แม้ว่าบริษัทจีนจะอ้างว่าข้อมูลถูกเข้ารหัส แต่ Gabi Kirlig พบว่าเขาสามารถดูสิ่งที่ดาวน์โหลดจากอุปกรณ์ของเขาได้อย่างรวดเร็ว เนื่องจากการเข้ารหัสใช้อัลกอริธึม base64 ที่ง่ายที่สุด ใช้เวลาเพียงไม่กี่วินาทีในการแปลงแพ็กเก็ตข้อมูลให้เป็นข้อมูลที่อ่านได้ นอกจากนี้เขายังเตือนด้วยว่า "ข้อกังวลหลักของฉันเกี่ยวกับความเป็นส่วนตัวคือข้อมูลที่ส่งไปยังเซิร์ฟเวอร์ระยะไกลนั้นเชื่อมโยงกับผู้ใช้รายใดรายหนึ่งได้อย่างง่ายดาย"
เพื่อตอบสนองต่อการค้นพบของผู้เชี่ยวชาญดังกล่าว โฆษกของ Xiaomi กล่าวว่าการกล่าวอ้างการวิจัยนั้นไม่เป็นความจริง และความเป็นส่วนตัวและความปลอดภัยมีความสำคัญอย่างยิ่ง และบริษัทปฏิบัติตามอย่างเคร่งครัดและปฏิบัติตามกฎหมายและข้อบังคับท้องถิ่นเกี่ยวกับปัญหาความเป็นส่วนตัวของผู้ใช้อย่างเคร่งครัด . แต่โฆษกยืนยันว่ากำลังรวบรวมข้อมูลการท่องเว็บโดยกล่าวว่าข้อมูลดังกล่าวไม่เปิดเผยตัวตนและไม่เชื่อมโยงกับบุคคลใด ๆ และผู้ใช้ยินยอมให้มีการติดตามดังกล่าว
แต่ดังที่ Gabi Kirlig และ Andrew Tierney ชี้ให้เห็น ไม่ใช่แค่ข้อมูลเกี่ยวกับเว็บไซต์ที่เยี่ยมชมหรือการค้นหาทางอินเทอร์เน็ตที่ถูกส่งไปยังเซิร์ฟเวอร์เท่านั้น Xiaomi ยังรวบรวมข้อมูลเกี่ยวกับโทรศัพท์ รวมถึงหมายเลขเฉพาะเพื่อระบุอุปกรณ์และเวอร์ชันเฉพาะของ Android ข้อมูลเมตาดังกล่าวสามารถเชื่อมโยงกับบุคคลจริงที่อยู่ด้านหลังหน้าจอได้อย่างง่ายดายหากต้องการ
โฆษกของ Xiaomi ยังปฏิเสธคำกล่าวอ้างว่าข้อมูลการท่องเว็บถูกบันทึกในโหมดไม่ระบุตัวตน อย่างไรก็ตาม นักวิจัยด้านความปลอดภัยพบในการทดสอบอิสระว่าพฤติกรรมออนไลน์ของพวกเขาส่งข้อความไปยังเซิร์ฟเวอร์ระยะไกล ไม่ว่าเบราว์เซอร์จะทำงานในโหมดใด โดยให้ทั้งภาพถ่ายและวิดีโอเป็นหลักฐาน
เมื่อนักข่าว Forbes มอบวิดีโอให้ Xiaomi แสดงให้เห็นว่าการค้นหาของ Google และการเข้าชมเว็บไซต์ถูกส่งไปยังเซิร์ฟเวอร์ระยะไกลอย่างไรแม้ในโหมดไม่ระบุตัวตน โฆษกของบริษัทยังคงปฏิเสธว่าข้อมูลดังกล่าวถูกบันทึกไว้: “วิดีโอนี้สาธิตการรวบรวมข้อมูลการท่องเว็บที่ไม่ระบุชื่อซึ่ง เป็นหนึ่งในการตัดสินใจทั่วไปของบริษัทอินเทอร์เน็ตเพื่อปรับปรุงประสบการณ์การท่องเว็บโดยรวมโดยการวิเคราะห์ข้อมูลที่ไม่สามารถระบุตัวบุคคลได้"
อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่าพฤติกรรมของเบราว์เซอร์ Xiaomi นั้นรุนแรงกว่าเบราว์เซอร์ยอดนิยมอื่นๆ เช่น Google Chrome หรือ Apple Safari มาก โดยเบราว์เซอร์หลังนี้จะไม่บันทึกพฤติกรรมของเบราว์เซอร์ รวมถึง URL โดยไม่ได้รับความยินยอมอย่างชัดแจ้งจากผู้ใช้และอยู่ในโหมดการเรียกดูแบบส่วนตัว
นอกจากนี้ ในการวิจัยของเขา Mr. Kirlig ค้นพบว่าเครื่องเล่นเพลงที่ติดตั้งไว้ล่วงหน้าบนสมาร์ทโฟน Xiaomi รวบรวมข้อมูลเกี่ยวกับพฤติกรรมการฟัง: เพลงใดที่จะเล่นและเมื่อใด
Gabi Kirlig ยังสงสัยว่า Xiaomi กำลังตรวจสอบการใช้งานซอฟต์แวร์ เพราะทุกครั้งที่เขาเปิดแอป ข้อมูลจำนวนเล็กน้อยจะถูกส่งไปยังเซิร์ฟเวอร์ระยะไกล นักวิจัยนิรนามอีกคนที่ Forbes อ้างถึง กล่าวว่า เขายังบันทึกว่าโทรศัพท์ของบริษัทจีนรวบรวมข้อมูลที่คล้ายกันได้อย่างไร Xiaomi ไม่ได้แสดงความคิดเห็นในเรื่องนี้
ข้อมูลดังกล่าวจะถูกส่งไปยังบริษัทวิเคราะห์ของจีน Sensors Analytics (หรือที่เรียกว่า Sensors Data) ซึ่งก่อตั้งขึ้นในปี 2015 และมีส่วนร่วมในการวิเคราะห์เชิงลึกเกี่ยวกับพฤติกรรมผู้ใช้และให้บริการคำปรึกษาอย่างมืออาชีพ เครื่องมือช่วยให้ลูกค้าสำรวจข้อมูลที่ซ่อนอยู่โดยตรวจสอบรูปแบบพฤติกรรมที่สำคัญ โฆษก Xiaomi ยืนยันการเชื่อมต่อกับการเริ่มต้น: “แม้ว่า Sensors Analytics จะมอบโซลูชันการวิเคราะห์ข้อมูลสำหรับ Xiaomi แต่ข้อมูลที่ไม่ระบุชื่อที่รวบรวมไว้จะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ของ Xiaomi และจะไม่ถูกแชร์กับ Sensors Analytics หรือบริษัทบุคคลที่สามอื่น ๆ”
ที่มา: 3dnews.ru