![Фахівець з безпеки - про смартфони Xiaomi: «Це бекдор з функціями телефону» [Оновлено]](/images/2022/10/19/xiaomi-pocophone-f1-q_giga-P1100_large.jpg)
Видання Reuters випустило статтю-попередження щодо того, що китайський гігант Xiaomi записує особисті дані мільйонів людей про їхні активності в Мережі, а також про використання пристрою. «Це бекдор з функціональністю телефону», - заявив напівжартома Габі Кірліг (Gabi Cirlig) про свій новий смартфон Xiaomi.
Цей досвідчений дослідник в області кібербезпеки поговорив з журналістами Forbes після того, як виявив, що його смартфон Redmi Note 8 стежить за всім, що він робить. Ці дані потім відправлялися на віддалені сервери, розміщені в іншого китайського технологічного гіганта Alibaba, які, ймовірно, орендує Xiaomi.
Пан Кірліг виявив, що відстежувалися тривожні обсяги відомостей про його поведінку, в той час як одночасно збиралися різні види даних з пристрою - фахівець був наляканий тим, що відомості про його особистість і приватне життя були повністю відомі китайській компанії.
Коли він переглядав веб-сайти в браузері Xiaomi, встановленому за замовчуванням на пристрої, останній записував всі відвідані сайти, включаючи запити пошукових систем, будь то Google або орієнтована на конфіденційність DuckDuckGo, також записувалися всі елементи, які проглядалися в новинній стрічці оболонки Xiaomi. Причому все це стеження працювало навіть коли використовувався режим «інкогніто».
Пристрій записував, які теки відкриваються, які екрани перемикаються, навіть якщо мова йде про рядок стану і сторінку налаштувань апарату. Всі дані відправлялися пакетно на віддалені сервери в Сінгапурі і Росії, хоча веб-домени серверів були зареєстровані в Пекіні.
На прохання Forbes інший дослідник кібербезпеки Ендрю Тірні (Andrew Tierney) провів власне розслідування. Він також виявив, що браузери, що поставляються Xiaomi в Google Play, - Mi Browser Pro і Mint Browser - збирають одні й ті самі дані. Згідно зі статистикою Google Play, разом вони були встановлені більше 15 мільйонів разів, тобто порушені можуть бути мільйони пристроїв.
Проблеми, як вважає пан Кірліг, ставляться до набагато більшої кількості моделей. Він завантажив прошивки для інших телефонів Xiaomi, включаючи Xiaomi Mi 10, Xiaomi Redmi K20 і Xiaomi Mi MIX 3, після чого підтвердив, що вони використовують ідентичний браузер і, ймовірно, відрізняються тими ж проблемами з конфіденційністю.
Схоже, виникають складнощі і з тим, як Xiaomi передає дані на свої сервери. Хоча китайська компанія стверджує, що дані шифруються, Габі Кірліг виявив, що може швидко побачити те, що було завантажено з його пристрою, тому що для «шифрування» використовується найпростіший алгоритм base64. Потрібно було всього кілька секунд, щоб перетворити пакети даних на читані фрагменти інформації. Також він попередив: «Моє головне побоювання щодо конфіденційності полягає в тому, що дані, які відправляються на віддалені сервери, дуже легко співвідносяться з конкретним користувачем».
У відповідь на висновки зазначених фахівців представник Xiaomi повідомив, що заяви про дослідження не відповідають дійсності, а конфіденційність і безпека мають першорядне значення, при цьому компанія суворо дотримується і повністю відповідає місцевим законам і нормам щодо питань особистих даних користувачів. Але представник при цьому підтвердив, що дані про перегляди збираються, стверджуючи, що інформація анонімна і не прив'язана до будь-якої особи, а користувачі дають згоду на таке відстеження.
Але, як відзначають Габі Кірліг і Ендрю Тірні, на сервер відправлялися відомості не тільки про відвідані веб-сайти або пошук в Інтернеті: Xiaomi також збирає дані про телефон, у тому числі унікальні номери для ідентифікації конкретного пристрою і версії Android. Такі метадані можна при бажанні легко співвіднести з реальною людиною за екраном.
Представник Xiaomi також відкинув твердження, що дані про перегляди записуються в режимі інкогніто. Однак фахівці з безпеки в своїх незалежних тестах виявили, що їх поведінка в Мережі відправляє на віддалені сервери незалежно від того, в якому режимі працює браузер, надавши як фотографії, так і відео як доказ.
Коли журналісти Forbes надали Xiaomi відео, в якому показано, як пошук в Google і відвідування сайтів відправлялися на віддалені сервери навіть в режимі інкогніто, представник компанії продовжив заперечувати, що інформація записується: «Це відео демонструє збір анонімних даних про перегляди, що є одним з найбільш поширених рішень, прийнятих інтернет-компаніями для поліпшення загального оточення в браузері за допомогою аналізу інформації, що не ідентифікує особу».
Однак фахівці з безпеки вважають, що поведінка браузера Xiaomi куди агресивніша, ніж інших популярних браузерів на кшталт Google Chrome або Apple Safari: останні не записують поведінку браузера, включаючи URL-адреси, без явної згоди користувача і в режимі приватного перегляду.
Крім того, у своєму дослідженні пан Кірліг виявив, що встановлений на смартфони Xiaomi музичний програвач збирає інформацію про звички прослуховування: які пісні відтворюються і коли.
Габі Кірліг також підозрює, що Xiaomi стежить за використанням ПЗ, оскільки кожен раз, коли він відкриває програми, невелика інформація відправляється на віддалений сервер. Інший анонімний дослідник, на якого посилається Forbes, заявив, що також реєстрував, як телефони китайської компанії збирають подібні дані. Xiaomi не дала коментарів з цього приводу.
Повідомляється, що дані відправляються китайській аналітичній компанії Sensors Analytics (також відома як Sensors Data), яка була заснована в 2015 році і займається глибоким аналізом поведінки користувачів і наданням професійних консультаційних послуг. Її інструменти допомагають клієнтам досліджувати приховані дані за допомогою вивчення ключових моделей поведінки. Представник Xiaomi підтвердив зв'язок зі стартапом: «Хоча Sensors Analytics надає рішення для аналізу даних для Xiaomi, зібрані анонімні дані зберігаються на власних серверах Xiaomi і не будуть передані Sensors Analytics або будь-яким іншим стороннім компаніям».
