Reuters Xitoy giganti Xiaomi millionlab odamlarning onlayn faoliyati va qurilmadan foydalanish haqidagi shaxsiy ma'lumotlarini yozib olishi haqida ogohlantiruvchi maqola e'lon qildi. "Bu telefonning funksionalligi uchun orqa eshikdir", dedi Gabi Cirlig o'zining yangi Xiaomi smartfoni haqida yarim hazil bilan.
Bu tajribali kiberxavfsizlik tadqiqotchisi uning Redmi Note 8 smartfoni u qilgan hamma narsada josuslik qilayotganini aniqlaganidan keyin Forbes bilan suhbatlashdi. Keyinchalik bu ma'lumotlar Xitoyning boshqa texnologiya giganti Alibaba tomonidan joylashtirilgan, ehtimol Xiaomi tomonidan ijaraga olingan uzoq serverlarga yuborildi.
Janob Kirlig qurilmadan bir vaqtning o‘zida turli turdagi ma’lumotlar yig‘ilayotganda uning xatti-harakati haqidagi xavotirli hajmdagi ma’lumotlar kuzatilayotganini aniqladi – mutaxassis uning shaxsi va shaxsiy hayoti tafsilotlari Xitoy kompaniyasiga to‘liq ma’lum bo‘lganidan dahshatga tushdi.
U qurilmadagi standart Xiaomi brauzerida veb-saytlarni ko'zdan kechirganida, ikkinchisi tashrif buyurilgan barcha saytlarni, shu jumladan Google yoki maxfiylikka yo'naltirilgan DuckDuckGo bo'lsin qidiruv tizimlarining so'rovlarini yozib oldi va Xiaomi qobig'ining yangiliklar tasmasida ko'rilgan barcha elementlar ham qayd etilgan. Bundan tashqari, bularning barchasi "inkognito" rejimi ishlatilganda ham ishlagan.
Qurilma holat satriga va qurilma sozlamalari sahifasiga kelganda ham qaysi papkalar ochilganini, qaysi ekranlar almashtirilganligini yozib oldi. Serverlarning veb-domenlari Pekinda ro'yxatdan o'tgan bo'lsa-da, barcha ma'lumotlar to'plamlarda Singapur va Rossiyadagi uzoq serverlarga yuborildi.
Forbes talabiga ko'ra, kiberxavfsizlik bo'yicha yana bir tadqiqotchi Endryu Tirni o'z tekshiruvini o'tkazdi. Shuningdek, u Google Play’da Xiaomi tomonidan taqdim etilgan brauzerlar – Mi Browser Pro va Mint Browser bir xil ma’lumotlarni to‘plashini aniqladi. Google Play statistik ma'lumotlariga ko'ra, ular birgalikda 15 million martadan ko'proq o'rnatilgan, ya'ni millionlab qurilmalar ta'sir qilishi mumkin.
Muammolar, janob Kirligning so'zlariga ko'ra, juda ko'p sonli modellarga tegishli. U boshqa Xiaomi telefonlari, jumladan Xiaomi Mi 10, Xiaomi Redmi K20 va Xiaomi Mi MIX 3 uchun proshivkani yuklab oldi, ular bir xil brauzerdan foydalanishini va bir xil maxfiylik muammolariga duch kelishi mumkinligini tasdiqlashdan oldin.
Xiaomi o'z serverlariga ma'lumotlarni uzatishda ham qiyinchiliklar mavjud. Xitoy kompaniyasi ma'lumotlar shifrlangan deb da'vo qilsa-da, Gabi Kirlig shifrlashda eng oddiy base64 algoritmidan foydalanilgani uchun o'z qurilmasidan nima yuklab olinganini tezda ko'ra olishini aniqladi. Ma'lumotlar paketlarini o'qilishi mumkin bo'lgan ma'lumotlarga aylantirish uchun bir necha soniya kerak bo'ldi. U, shuningdek, ogohlantirdi: "Maxfiylik bilan bog'liq mening asosiy tashvishim shundaki, uzoq serverlarga yuborilgan ma'lumotlar ma'lum bir foydalanuvchi bilan juda oson bog'lanadi."
Ushbu ekspertlarning xulosalariga javoban Xiaomi vakili tadqiqot da'volari haqiqatga to'g'ri kelmasligini va maxfiylik va xavfsizlik muhim ahamiyatga ega ekanligini va kompaniya foydalanuvchilarning maxfiyligi bilan bog'liq mahalliy qonunlar va qoidalarga qat'iy rioya qilishini va ularga to'liq mos kelishini aytdi. . Ammo matbuot kotibi brauzer ma'lumotlari to'planayotganini tasdiqlab, ma'lumotlar anonim ekanligini va hech qanday shaxsga bog'lanmaganligini va foydalanuvchilar bunday kuzatishga roziligini aytdi.
Ammo Gabi Kirlig va Endryu Tierni ta'kidlaganidek, serverga faqat tashrif buyurilgan veb-saytlar yoki internet qidiruvlari haqidagi ma'lumotlar yuborilmadi: Xiaomi shuningdek, muayyan qurilma va Android versiyasini aniqlash uchun telefon haqidagi ma'lumotlarni, jumladan, noyob raqamlarni to'pladi. Agar so'ralsa, bunday metama'lumotlar ekranning orqasidagi haqiqiy odam bilan osongina bog'lanishi mumkin.
Xiaomi matbuot kotibi, shuningdek, brauzer ma'lumotlari inkognito rejimida yozib olinayotgani haqidagi da'volarni rad etdi. Biroq, xavfsizlik tadqiqotchilari o'zlarining mustaqil testlarida ularning onlayn xatti-harakatlari brauzer qaysi rejimda ishlayotganidan qat'i nazar, masofaviy serverlarga xabarlar yuborib, fotosuratlar va videolarni dalil sifatida taqdim etishini aniqladilar.
Forbes jurnalistlari Xiaomi’ga Google qidiruvlari va veb-saytlarga tashriflar hatto inkognito rejimida ham uzoq serverlarga qanday yuborilgani aks ettirilgan videoni taqdim etganida, kompaniya vakili ma’lumotlar yozib olinayotganini inkor etishda davom etdi: “Ushbu video anonim ko‘rish ma’lumotlari to‘planganini ko‘rsatadi. bu Internet kompaniyalari tomonidan shaxsiy ma'lumotlarni tahlil qilish orqali umumiy ko'rish tajribasini yaxshilash uchun qabul qilingan eng keng tarqalgan qarorlardan biridir."
Biroq, xavfsizlik bo'yicha mutaxassislarning fikricha, Xiaomi brauzerining xatti-harakati Google Chrome yoki Apple Safari kabi boshqa mashhur brauzerlarga qaraganda ancha tajovuzkor: ikkinchisi foydalanuvchining aniq roziligisiz va shaxsiy ko'rish rejimida brauzer xatti-harakatlarini, shu jumladan URL manzillarini qayd etmaydi.
Bundan tashqari, janob Kirlig o'z tadqiqotida Xiaomi smartfonlariga oldindan o'rnatilgan musiqa pleyeri tinglash odatlari: qaysi qo'shiqlar va qachon ijro etilishi haqida ma'lumot to'plashini aniqladi.
Gabi Kirlig, shuningdek, Xiaomi dasturiy ta'minotdan foydalanishni nazorat qilmoqda, chunki u har safar ilovalarni ochganda, masofaviy serverga kichik hajmdagi ma'lumotlar yuboriladi. Forbes keltirgan yana bir anonim tadqiqotchining aytishicha, u Xitoy kompaniyasining telefonlari shunga o'xshash ma'lumotlarni qanday to'plaganini ham yozib olgan. Xiaomi bu borada izoh bermadi.
Maʼlumotlar 2015-yilda tashkil etilgan va foydalanuvchilar xatti-harakatlarini chuqur tahlil qilish va professional konsalting xizmatlarini taqdim etish bilan shugʻullanuvchi Sensors Analytics (shuningdek, Sensors Data nomi bilan ham tanilgan) analitik kompaniyasiga yuborilgani xabar qilingan. Uning vositalari mijozlarga asosiy xatti-harakatlar modellarini o'rganish orqali yashirin ma'lumotlarni o'rganishga yordam beradi. Xiaomi vakili startap bilan bog‘liqligini tasdiqladi: “Sensors Analytics Xiaomi uchun ma’lumotlar tahlili yechimini taqdim etsa-da, to‘plangan anonim ma’lumotlar Xiaomi’ning o‘z serverlarida saqlanadi va Sensors Analytics yoki boshqa uchinchi tomon kompaniyalari bilan baham ko‘rilmaydi”.
Manba: 3dnews.ru