Reuters đã đưa ra một bài viết cảnh báo rằng gã khổng lồ Trung Quốc Xiaomi đang ghi lại dữ liệu cá nhân của hàng triệu người về các hoạt động trực tuyến và việc sử dụng thiết bị của họ. Gabi Cirlig nửa đùa nửa thật nói về điện thoại thông minh Xiaomi mới của mình: “Đó là một cửa sau cho chức năng của điện thoại”.
Nhà nghiên cứu an ninh mạng dày dạn kinh nghiệm này đã nói chuyện với Forbes sau khi phát hiện ra rằng chiếc điện thoại thông minh Redmi Note 8 của anh đang theo dõi mọi việc anh làm. Dữ liệu này sau đó được gửi đến các máy chủ từ xa do gã khổng lồ công nghệ Trung Quốc Alibaba quản lý, có khả năng được Xiaomi thuê.
Ông Kirlig phát hiện ra rằng một lượng thông tin đáng báo động về hành vi của ông đang bị theo dõi trong khi nhiều loại dữ liệu khác nhau được thu thập đồng thời từ thiết bị - chuyên gia này rất kinh hoàng khi biết chi tiết về danh tính và đời tư của ông đã bị công ty Trung Quốc biết đầy đủ.
Khi anh duyệt các trang web bằng trình duyệt Xiaomi mặc định trên thiết bị, thiết bị này đã ghi lại tất cả các trang web đã truy cập, bao gồm các truy vấn từ các công cụ tìm kiếm, có thể là Google hoặc DuckDuckGo tập trung vào quyền riêng tư và tất cả các mục được xem trong nguồn cấp tin tức của giao diện Xiaomi đều bị cũng được ghi lại. Hơn nữa, tất cả sự giám sát này vẫn hoạt động ngay cả khi chế độ “ẩn danh” được sử dụng.
Máy ghi lại những thư mục nào đã được mở, những màn hình nào đã được chuyển đổi, kể cả khi vào thanh trạng thái và trang cài đặt của máy. Tất cả dữ liệu được gửi theo đợt tới các máy chủ từ xa ở Singapore và Nga, mặc dù tên miền web của máy chủ đã được đăng ký ở Bắc Kinh.
Theo yêu cầu của Forbes, một nhà nghiên cứu an ninh mạng khác là Andrew Tierney đã tiến hành cuộc điều tra của riêng mình. Ông cũng phát hiện ra rằng các trình duyệt do Xiaomi cung cấp trên Google Play - Mi Browser Pro và Mint Browser - thu thập dữ liệu giống nhau. Theo thống kê của Google Play, chúng đã được cài đặt hơn 15 triệu lần, nghĩa là hàng triệu thiết bị có thể bị ảnh hưởng.
Theo ông Kirlig, các vấn đề này áp dụng cho số lượng mô hình lớn hơn nhiều. Anh đã tải xuống chương trình cơ sở cho các điện thoại Xiaomi khác, bao gồm Xiaomi Mi 10, Xiaomi Redmi K20 và Xiaomi Mi MIX 3, trước khi xác nhận rằng chúng sử dụng cùng một trình duyệt và có thể gặp phải các vấn đề tương tự về quyền riêng tư.
Dường như cũng có những khó khăn trong cách Xiaomi truyền dữ liệu đến máy chủ của mình. Mặc dù công ty Trung Quốc tuyên bố rằng dữ liệu đã được mã hóa nhưng Gabi Kirlig nhận thấy rằng anh có thể nhanh chóng xem những gì được tải xuống từ thiết bị của mình vì mã hóa sử dụng thuật toán base64 đơn giản nhất. Chỉ mất vài giây để chuyển đổi các gói dữ liệu thành những mẩu thông tin có thể đọc được. Ông cũng cảnh báo: “Mối quan tâm chính của tôi về quyền riêng tư là dữ liệu được gửi đến các máy chủ từ xa rất dễ bị liên kết với một người dùng cụ thể”.
Đáp lại phát hiện của các chuyên gia nói trên, một phát ngôn viên của Xiaomi cho biết các tuyên bố nghiên cứu là không đúng sự thật, quyền riêng tư và bảo mật là điều quan trọng hàng đầu, đồng thời công ty tuân thủ nghiêm ngặt và tuân thủ đầy đủ luật pháp cũng như quy định của địa phương liên quan đến các vấn đề về quyền riêng tư của người dùng. . Nhưng người phát ngôn xác nhận rằng dữ liệu duyệt web đang được thu thập, nói rằng thông tin này là ẩn danh và không bị ràng buộc với bất kỳ cá nhân nào và người dùng đồng ý theo dõi như vậy.
Nhưng như Gabi Kirlig và Andrew Tierney chỉ ra, không chỉ thông tin về các trang web đã truy cập hoặc các tìm kiếm trên Internet được gửi đến máy chủ: Xiaomi còn thu thập dữ liệu về điện thoại, bao gồm các số duy nhất để xác định một thiết bị và phiên bản Android cụ thể. Siêu dữ liệu như vậy có thể dễ dàng tương quan với người thật đằng sau màn hình nếu muốn.
Người phát ngôn của Xiaomi cũng bác bỏ tuyên bố rằng dữ liệu duyệt web đang được ghi lại ở chế độ ẩn danh. Tuy nhiên, các nhà nghiên cứu bảo mật nhận thấy trong các thử nghiệm độc lập của họ rằng hành vi trực tuyến của họ sẽ gửi tin nhắn đến các máy chủ từ xa bất kể trình duyệt đang chạy ở chế độ nào, cung cấp cả ảnh và video làm bằng chứng.
Khi các nhà báo của Forbes cung cấp cho Xiaomi một đoạn video cho thấy cách các tìm kiếm của Google và lượt truy cập trang web được gửi đến các máy chủ từ xa ngay cả ở chế độ ẩn danh, người phát ngôn của công ty tiếp tục phủ nhận rằng thông tin đã được ghi lại: “Video này thể hiện việc thu thập dữ liệu duyệt web ẩn danh. là một trong những quyết định phổ biến nhất của các công ty Internet nhằm cải thiện trải nghiệm duyệt web tổng thể bằng cách phân tích thông tin không thể nhận dạng cá nhân."
Tuy nhiên, các chuyên gia bảo mật tin rằng hoạt động của trình duyệt Xiaomi mạnh mẽ hơn nhiều so với các trình duyệt phổ biến khác như Google Chrome hoặc Apple Safari: các trình duyệt sau không ghi lại hành vi của trình duyệt, bao gồm cả URL, mà không có sự đồng ý rõ ràng của người dùng và ở chế độ duyệt web riêng tư.
Ngoài ra, trong nghiên cứu của mình, ông Kirlig còn phát hiện ra rằng trình phát nhạc cài sẵn trên smartphone Xiaomi thu thập thông tin về thói quen nghe nhạc: bài hát nào được phát và khi nào.
Gabi Kirlig cũng nghi ngờ rằng Xiaomi đang theo dõi việc sử dụng phần mềm vì mỗi khi anh mở ứng dụng, một lượng nhỏ thông tin sẽ được gửi đến máy chủ từ xa. Một nhà nghiên cứu ẩn danh khác được Forbes trích dẫn cho biết ông cũng ghi lại cách điện thoại của công ty Trung Quốc thu thập dữ liệu tương tự. Xiaomi không bình luận về vấn đề này.
Dữ liệu được cho là sẽ được gửi đến công ty phân tích Trung Quốc Sensors Analytics (còn được gọi là Sensors Data), được thành lập vào năm 2015 và chuyên phân tích chuyên sâu về hành vi người dùng và cung cấp dịch vụ tư vấn chuyên nghiệp. Các công cụ của nó giúp khách hàng khám phá dữ liệu ẩn bằng cách kiểm tra các mẫu hành vi chính. Người phát ngôn của Xiaomi đã xác nhận mối liên hệ với công ty khởi nghiệp: “Mặc dù Sensors Analytics cung cấp giải pháp phân tích dữ liệu cho Xiaomi, nhưng dữ liệu ẩn danh được thu thập sẽ được lưu trữ trên máy chủ của chính Xiaomi và sẽ không được chia sẻ với Sensors Analytics hoặc bất kỳ công ty bên thứ ba nào khác”.
Nguồn: 3dnews.ru