Видання Reuters випустило статтю-попередження щодо того, що китайський гігант Xiaomi записує особисті дані мільйонів людей про їх активності в Мережі, а також використання пристрою. "Це бекдор з функціональністю телефону", - заявив напівжартома Габі Кірліг (Gabi Cirlig) про свій новий смартфон Xiaomi.
Цей досвідчений дослідник у галузі кібербезпеки поговорив із журналістами Forbes після того, як виявив, що його смартфон Redmi Note 8 стежить за всім, що він робить. Ці дані потім відправлялися на віддалені сервери, які розміщені в іншого китайського технологічного гіганта Alibaba, які, ймовірно, орендує Xiaomi.
Пан Кирліг виявив, що відстежувалися тривожні обсяги відомостей про його поведінку, тоді як одночасно збиралися різні види даних з пристрою — фахівець був наляканий тим, що відомості про його особистість та приватне життя були повністю відомі китайській компанії.
Коли він переглядав веб-сайти в браузері Xiaomi, встановленому за умовчанням на пристрої, останній записував усі відвідані сайти, включаючи запити пошукових систем, будь то Google або орієнтована на конфіденційність DuckDuckGo, також записувалися всі елементи, які переглядалися в стрічкі новин оболонки. Причому все це стеження працювало навіть коли використовувався режим «інкогніто».
Пристрій записував, які папки відкриваються, які екрани перемикаються, навіть якщо мова йде про рядок стану та сторінку налаштувань апарата. Всі дані надсилалися пакетно на віддалені сервери в Сінгапурі та Росії, хоча веб-домени серверів були зареєстровані в Пекіні.
На прохання Forbes інший дослідник кібербезпеки Ендрю Тірні (Andrew Tierney) провів власне розслідування. Він також виявив, що браузери, що поставляються Xiaomi в Google Play, - Mi Browser Pro і Mint Browser - збирають ті самі дані. Згідно зі статистикою Google Play, разом вони були встановлені понад 15 мільйонів разів, тобто можуть бути порушені мільйони пристроїв.
Проблеми, як вважає пан Кирліг, відносяться до значно більшої кількості моделей. Він завантажив прошивки для інших телефонів Xiaomi, включаючи Xiaomi Mi 10, Xiaomi Redmi K20 та Xiaomi Mi MIX 3, після чого підтвердив, що вони використовують ідентичний браузер і, ймовірно, відрізняються тими самими проблемами з конфіденційністю.
Схоже, виникають складнощі з тим, як Xiaomi передає дані на свої сервери. Хоча китайська компанія стверджує, що дані шифруються, Габі Кирліг виявив, що може швидко побачити те, що було завантажено з його пристрою, тому що для шифрування використовується найпростіший алгоритм base64. Потрібно всього кілька секунд, щоб перетворити пакети даних на фрагменти інформації, що читаються. Також він попередив: «Моє головне побоювання щодо конфіденційності полягає в тому, що дані, які надсилаються на віддалені сервери, дуже легко співвідносяться з конкретним користувачем».
У відповідь на висновки зазначених фахівців представник Xiaomi повідомив, що заяви про дослідження не відповідають дійсності, а конфіденційність та безпека мають першорядне значення, при цьому компанія суворо дотримується та повністю відповідає місцевим законам та нормам щодо питань особистих даних користувачів. Але представник при цьому підтвердив, що дані про перегляди збираються, стверджуючи, що інформація анонімна і не прив'язана до будь-якої особи, а користувачі погоджуються на таке відстеження.
Але, як зазначають Габі Кірліг та Ендрю Тірні, на сервер надсилалися відомості не лише про відвідані веб-сайти або пошук в Інтернеті: Xiaomi також збирає дані про телефон, у тому числі унікальні номери для ідентифікації конкретного пристрою та версії Android. Такі метадані можна за бажанням легко співвіднести з реальною людиною за екраном.
Представник Xiaomi також відкинув твердження, що дані про перегляд записуються в режимі інкогніто. Проте фахівці з безпеки у своїх незалежних тестах виявили, що їхня поведінка в Мережі відправляє на віддалені сервери незалежно від того, в якому режимі працює браузер, надавши як фотографії, так і відео як доказ.
Коли журналісти Forbes надали Xiaomi з відео, в якому показано, як пошук у Google та відвідування сайтів відправлялися на віддалені сервери навіть у режимі інкогніто, представник компанії продовжив заперечувати, що інформація записується: «Це відео демонструє збір анонімних даних про перегляди, що є одним з найпоширеніших рішень, прийнятих інтернет-компаніями для покращення загального оточення в браузері за допомогою аналізу інформації, що не ідентифікує особистість».
Проте фахівці з безпеки вважають, що поведінка браузера Xiaomi набагато агресивніша, ніж інших популярних браузерів на кшталт Google Chrome або Apple Safari: останні не записують поведінку браузера, включаючи URL-адреси, без явної згоди користувача та в режимі приватного перегляду.
Крім того, у своєму дослідженні Кирліг виявив, що встановлений на смартфони Xiaomi музичний програвач збирає інформацію про звички прослуховування: які пісні відтворюються і коли.
Габі Кирліг також підозрює, що Xiaomi стежить за використанням ПЗ, оскільки щоразу, коли він відкриває програми, невелика інформація відправляється на віддалений сервер. Інший анонімний дослідник, на якого посилається Forbes, заявив, що також реєстрував, як телефони китайської компанії збирають такі дані. Xiaomi не дала коментарів із цього приводу.
Повідомляється, що дані надсилаються китайській аналітичній компанії Sensors Analytics (також відома як Sensors Data), яка була заснована у 2015 році та займається глибоким аналізом поведінки користувачів та наданням професійних консультаційних послуг. Її інструменти допомагають клієнтам досліджувати приховані дані за допомогою ключових моделей поведінки. Представник Xiaomi підтвердив зв'язок зі стартапом: "Хоча Sensors Analytics надає рішення для аналізу даних для Xiaomi, зібрані анонімні дані зберігаються на власних серверах Xiaomi і не будуть передані Sensors Analytics або іншим стороннім компаніям".
Джерело: 3dnews.ru