Конфіденційність користувачів Xiaomi опинилась під загрозою

Дослідник з безпеки Габі Кірліг зауважив, що смартфони Xiaomi та її програмне забезпечення збирають дані про користувачів і цілеспрямовано надсилають на віддалені сервери Alibaba, які нібито орендовані компанією Xiaomi. «Дослідження» були проведені на моделі Redmi Note 8. Про це він розказав ресурсу Forbes. Проте як з’ясувалося в подальшому, Xiaomi Mi 10, Redmi K20 та Mi Mix 3 також діють за цим сценарієм.

Xiaomi слідкує навіть в режимі інкогніто

Коли Кірлінг користувався Інтернетом, браузер Xiaomi записував всі відвідані ним сайти. Не допомагав навіть режим «Інкогніто» – браузер однаково «знав», які сайти відвідує користувач. Пристрої також записували, які папки він відкрив, а також яка взаємодія відбувалася з екраном, включаючи рядок стану та меню налаштувань. Всі дані були упаковані і відправлені на віддалені сервери в Сінгапурі і Росії, хоча веб-домени, які вони розміщували, були зареєстровані в Пекіні. Пристроям на Android загрожує новий троян EventBot

Redmi Note 9 представили на європейському ринку

Xiaomi Mi Note 10 Lite отримав Snapdragon 730G та Sony IMX686 На прохання Forbes, інший дослідник кібербезпеки Ендрю Тірні провів подальше розслідування. Він також виявив, що браузери, що поставляються Xiaomi в Google Play, – Mi Browser Pro та Mint Browser – збирають одні й ті ж дані. Разом вони мають понад 15 млн завантажень, згідно зі статистикою Google Play. Обидва дослідники називають це серйозною проблемою конфіденційності. Проте, Xiaomi заперечує і не вважає це порушенням. Xiaomi є одним з чотирьох найбільших виробників смартфонів у світі за часткою ринку, поступаючись Apple, Samsung і Huawei. Компанія пропонує доступні пристрої, які володіють багатьма характеристиками, що і більш дорогі смартфони. Але для користувачів така низька ціна може коштувати більшого – конфіденційності.

Компанія заявляє, що дані були зашифрованими під час передачі на сервери. А значить через них не можна ідентифікувати конкретного користувача. Однак, Кірліг виявив, що він може швидко побачити те, що було взято з його пристрою, розшифрувавши частину інформації, яка була захована у вигляді кодування, відомого як base64. Йому знадобилося лише кілька секунд, щоб перетворити «зашифровані» дані у фрагменти інформації, які можна прочитати. Реакція Xiaomi

У відповідь на висновки Xiaomi зазначила, що політика конфіденційності має важливе значення. Компанія дотримується місцевих законів і норм стосовно питань конфіденційності даних користувачів. Але представник компанії підтвердив, що дані про перегляди таки збираються, стверджуючи, що інформація була анонімною, тому не була прив’язана до конкретних користувачів. Вона сказала, що користувачі самі дали згоду на таке відстеження.

Але, як відзначають дослідники, на сервер відправляються дані не тільки про веб-сайти або пошук в Інтернеті. Xiaomi також збирала дані про телефон, в тому числі унікальні номери для ідентифікації конкретного пристрою і версії Android. Кірліг сказав, що такі «метадані» можуть «легко співвідноситися з реальною людиною за екраном».

Представник Xiaomi також заперечував, що дані перегляду записувалися в режимі інкогніто. Однак обидва дослідники виявили, що їхні веб-звички відправляються на віддалені сервери незалежно від того, в якому режимі працює браузер. Вони також сказали, що поведінка Xiaomi була більш агресивною, ніж в інших браузерах, таких як Google Chrome або Apple Safari.

«Поведінкова аналітика»

У Xiaomi, схоже, є ще одна причина для збору даних: щоб краще зрозуміти поведінку своїх користувачів. Вона користується послугами аналітичної компанії Sensors Analytics. Китайський стартап, також відомий як Sensors Data, зібрав $ 60 млн з моменту свого заснування в 2015 році, а останній раз отримав $ 44 млн в раунді під керівництвом нью-йоркської приватної акціонерної компанії Warburg Pincus, яка також фінансувалася Sequoia Capital China. Sensors Analytics є постачальником платформи для глибокого аналізу поведінки користувачів і професійних консультаційних послуг. Його інструменти допомагають клієнтам досліджувати приховані історії, що ховаються за індикаторами, у вивченні ключових моделей поведінки різних підприємств.

Дослідники виявили, що мобільні додатки Xiaomi відправляють дані в домени, які, мабуть, посилаються на Sensors Analytics. При натисканні на один з доменів на сторінці було одне речення: «Sensors Analytics готова отримати ваші дані!» API, під назвою SensorDataAPI, дозволяє третім сторонам отримувати доступ до даних додатка. Xiaomi також вказана як клієнт на веб-сайті Sensors Data. Засновник і генеральний директор Sensors Data, Санг Веньфен, вже давно займається відстеженням користувачів. У китайському інтернет-гіганті Baidu, згідно з біографією його компанії, він створив велику платформу даних для користувацьких журналів Baidu.

Представник Xiaomi підтвердив зв’язок зі стартапом: «Хоча Sensors Analytics надає рішення для аналізу даних, зібрані анонімні дані зберігаються на власних серверах Xiaomi і не будуть передані Sensors Analytics або будь-яким іншим стороннім компаніям».

Це вже не вперше, коли Xiaomi звинувачують у стеженні за користувачами. Нещодавно, було виявлено, що додаток музичного плеєра компанії збирає інформацію про звички користувача – які пісні грають і коли.