Pozrite si
Xiaomi je štvrtý najväčší výrobca smartfónov na svete. Rovnako ako Huawei, ide o čínsku spoločnosť. Rovnako ako pri Huawei sa aj pri tejto spoločnosti, jej hodnota sa odhaduje na 50 miliárd dolárov, objavujú pochybnosti o bezpečnosti údajov, ktoré získava od používateľov.
O čo ide?
Gabi Cirlig, bezpečnostný technik v kybernetickej oblasti, sa obrátil na Forbes potom, ako zistil, že jeho osobný smartfón Xiaomi Redmi Note 8 sleduje takmer všetko, čo na ňom robí. Získané údaje potom odosiela na vzdialené servery hostené ďalšou čínskou spoločnosťou Alibaba, tá ich prenajíma Xiaomi.
Gabi zistil, že smartfón sledoval veľké množstvo údajov. V predvolenom prehliadači Xiaomi našiel všetky webové stránky, ktoré navštívil, ako aj vyhľadávania na Googli či DuckDuckGo, našiel tam dokonca aj položku zo súkromného režimu Inkognito.
Smartfón zaznamenával aké priečinky otvoril, na ktoré obrazovky prešiel vrátane stavového riadku a stránky s nastaveniami. Získané dáta sa skomprimovali a odosielali na vzdialené servery v Rusku a v Singapure, Gabi však zistil, že webové domény, ktoré hostili boli zaregistrované v Pekingu.
Forbes požiadal ďalšieho výskumníka, aby tieto informácie overil. Andrew Tierney zistil, že prehliadače od Xiaomi nachádzajúce sa v Google Play: Mi Browser Pro a Mint Browser zhromažďujú rovnaké údaje. Podľa štatistík Google Play majú spolu viac než 15 miliónov stiahnutí.
Gabi Cirlig si všimol, že aj aplikácia hudobného prehrávača Xiaomi zhromažďovala informácie o jeho hudobnom vkuse. Odkazuje: „Keď počúvate, počúva aj Xiaomi“.
Samozrejme, bezpečnostné riziko sa netýka len modelu Redmi Note 8, aj v ďalších zariadeniach (Xiaomi MI 10, Xiaomi Redmi K20 a Xiaomi Mi MIX 3) boli nájdené rovnaké kódy prehliadača, čo naznačuje rovnaké problémy s ochranou osobných údajov. Samotné údaje sú zašifrované pomocou slabého formátu base64, takže je veľmi ľahké extrahovať dáta do obyčajného textu.
Xiaomi zistenia označilo ako nepravdivé. Uviedlo, že „ochrana súkromia a bezpečnosť sú predmetom najvyšších priorít“ a dodalo, že „prísne dodržiava miestne zákony a nariadenia o ochrane osobných údajov používateľov a je s nimi v plnej súčinnosti.“ Hovorca potvrdil, že zhromažďovanie údajov je anonymné a nie je viazané na akúkoľvek identitu a používatelia s takýmto sledovaním súhlasili.
Cirlig a Tierney pritom dokázali, že sa na server neposielali len webstránky a vyhľadávanie na nich. Xiaomi tiež získavalo údaje o telefóne vrátane jedinečných čísel na identifikáciu konkrétneho zariadenia a verzie systému Android. Cirlig vyhlásil, že tieto metadáta môžu „ľahko korelovať so skutočným človekom za displejom“.
Keď hovorca Xiaomi poprel, že sa zaznamenávajú údaje aj v režime Inkognito, Forbes im poslalo video, kde Gabi Cirlig vyhľadáva v Google výraz „porno“ a navštevuje PornHub. Všetky tieto činnosti sa následne odoslali na vzdialené servery, aj keď sa nachádzal v režime Inkognito.
Andrew Tierney v tejto súvislosti povedal, že každý prehliadač analyzuje správanie používateľov, ale to, čo robí Xiaomi je „oveľa horšie ako ktorýkoľvek z bežných prehliadačov, ktoré som videl. Mnoho z nich sa venuje analýze, ale je to o používaní a zlyhaní. Získavanie URL adries bez výslovného súhlasu a v režime súkromného prehliadania je také zlé, ako sa len dá“.
Xiaomi na získané informácie znovu zopakovalo, že dostáva len anonymizované údaje, ktoré majú lepšie porozumieť správaniu používateľov, využíva pri tom služby analytickej spoločnosti Sensors Analytics. Cirlig aj Tierney zistili, že ich aplikácie Xiaomi posielajú údaje do domén, ktoré odkazujú na spoločnosť Sensors Analytics. Xiaomi je tiež uvedená ako zákazník na webových stránkach Sensors Data.
Xiaomi tiež zdieľalo blog, v ktorom objasnilo kedy a z akých dôvodov zhromažďuje URL adresy navštívené jeho používateľmi. Spoločnosť opäť zdôraznila, že všetky údaje prenášané zo zariadení Xiaomi boli anonymné a nedali sa spárovať so žiadnou identitou.
Zdá sa, že opäť tu stoja dva rôzne pohľady na jeden problém. Dôkazy získané bezpečnostnými výskumníkmi, ktorí zistili čo, kde a komu odchádza zo smartfónov a na druhej strane čínska spoločnosť, ktorá chrlí mimoriadne obľúbené zariadenia do celého sveta. Zhodou okolností pochádza z krajiny, ktorá nepatrí medzi demokratické režimy.
Zdroj