Специалист по безопасности - о смартфонах Xiaomi: «Это бэкдор с функциями телефона»
Издание Reuters выпустило статью-предупреждение относительно того, что китайский гигант Xiaomi записывает личные данные миллионов людей об их активностях в Сети, а также об использовании устройства. "Это бэкдор с функциональностью телефона", - заявил полушутя Габи Кирлиг (Gabi Cirlig) о своем новом смартфоне Xiaomi.
Этот опытный исследователь в области кибербезопасности поговорил с журналистами Forbes после того, как обнаружил, что его смартфон Redmi Note 8 следит за всем, что он делает. Эти данные затем отправлялись на удаленные серверы, размещенные у другого китайского технологического гиганта Alibaba, которые, вероятно, арендует Xiaomi.
Господин Кирлиг обнаружил, что отслеживались тревожные объемы сведений о его поведении, в то время как одновременно собирались различные виды данных с устройства - специалист был напуган тем, что сведения о его личности и частной жизни были полностью известны китайской компании.
Когда он просматривал веб-сайты в браузере Xiaomi, установленном по умолчанию на устройстве, последний записывал все посещенные сайты, включая запросы поисковых систем, будь то Google или ориентированная на конфиденциальность DuckDuckGo, также записывались все элементы, которые просматривались в новостной ленте оболочки Xiaomi. Причем вся эта слежка работала даже когда использовался режим "инкогнито".
Устройство записывало, какие папки открываются, какие экраны переключаются, даже если речь идет о строке состояния и странице настроек аппарата. Все данные отправлялись пакетно на удаленные серверы в Сингапуре и России, хотя веб-домены серверов были зарегистрированы в Пекине.
По просьбе Forbes другой исследователь кибербезопасности Эндрю Тирни (Andrew Tierney) провел собственное расследование. Он также обнаружил, что браузеры, поставляемые Xiaomi в Google Play, - Mi Browser Pro и Mint Browser - собирают одни и те же данные. Согласно статистике Google Play, вместе они были установлены более 15 миллионов раз, то есть затронуты могут быть миллионы устройств.
Проблемы, как считает господин Кирлиг, относятся к гораздо большему количеству моделей. Он загрузил прошивки для других телефонов Xiaomi, включая Xiaomi Mi 10, Xiaomi Redmi K20 и Xiaomi Mi MIX 3, после чего подтвердил, что они используют идентичный браузер и, вероятно, отличаются теми же проблемами с конфиденциальностью.
Похоже, возникают сложности и с тем, как Xiaomi передает данные на свои серверы. Хотя китайская компания утверждает, что данные шифруются, Габи Кирлиг обнаружил, что может быстро увидеть то, что было загружено с его устройства, потому что для шифрования используется простейший алгоритм base64. Потребовалось всего несколько секунд, чтобы преобразовать пакеты данных в читаемые фрагменты информации. Также он предупредил: "Мое главное опасение относительно конфиденциальности заключается в том, что данные, отправляемые на удаленные серверы, очень легко соотносятся с конкретным пользователем".
В ответ на выводы указанных специалистов представитель Xiaomi сообщил, что заявления об исследованиях не соответствуют действительности, а конфиденциальность и безопасность имеют первостепенное значение, при этом компания строго соблюдает и полностью соответствует местным законам и нормам в отношении вопросов личных данных пользователей. Но представитель при этом подтвердил, что данные о просмотрах собираются, утверждая, что информация анонимна и не привязана к какой-либо личности, а пользователи дают согласие на такое отслеживание.
Но, как отмечают Габи Кирлиг и Эндрю Тирни, на сервер отправлялись сведения не только о посещенных веб-сайтах или поиске в Интернете: Xiaomi также собирает данные о телефоне, в том числе уникальные номера для идентификации конкретного устройства и версии Android. Такие метаданные можно при желании легко соотнести с реальным человеком за экраном.
Представитель Xiaomi также отверг утверждения, что данные о просмотрах записываются в режиме инкогнито. Однако специалисты по безопасности в своих независимых тестах обнаружили, что их поведение в Сети отправляет на удаленные серверы независимо от того, в каком режиме работает браузер, предоставив как фотографии, так и видео в качестве доказательства.
Когда журналисты Forbes предоставили Xiaomi с видео, в котором показано, как поиск в Google и посещение сайтов отправлялись на удаленные серверы даже в режиме инкогнито, представитель компании продолжил отрицать, что информация записывается: "Это видео демонстрирует сбор анонимных данных о просмотрах, что является одним из наиболее распространенных решений, принятых интернет-компаниями для улучшения общего окружения в браузере посредством анализа информации, не идентифицирующей личность".
Однако специалисты по безопасности считают, что поведение браузера Xiaomi куда более более агрессивнее, чем других популярных браузеров вроде Google Chrome или Apple Safari: последние не записывают поведение браузера, включая URL-адреса, без явного согласия пользователя и в режиме приватного просмотра.
Кроме того, в своем исследовании господин Кирлиг обнаружил, что предустановленный на смартфоны Xiaomi музыкальный проигрыватель собирает информацию о привычках прослушивания: какие песни воспроизводятся и когда.
Габи Кирлиг также подозревает, что Xiaomi следит за использованием ПО, поскольку каждый раз, когда он открывает приложения, небольшая информация отправляется на удаленный сервер. Другой анонимный исследователь, на которого ссылается Forbes, заявил, что также регистрировал, как телефоны китайской компании собирают подобные данные. Xiaomi не дала комментариев по этому поводу.
Сообщается, что данные отправляются китайской аналитической компании Sensors Analytics (также известна как Sensors Data), которая была основана в 2015 году и занимается глубоким анализом поведения пользователей и предоставлением профессиональных консультационных услуг. Ее инструменты помогают клиентам исследовать скрытые данные с помощью изучения ключевых моделей поведения. Представитель Xiaomi подтвердил связь со стартапом: "Хотя Sensors Analytics предоставляет решение для анализа данных для Xiaomi, собранные анонимные данные хранятся на собственных серверах Xiaomi и не будут переданы Sensors Analytics или любым другим сторонним компаниям".
Android Apple Forbes Xiaomi Пекин