Forbes transmite un avertisment cu privire la Xiaomi. Publicația online aduce în atenția publicului un material exclusiv prin care explică modul în care Xiaomi înregistrează activitatea privată a utilizatorilor. ”Este o ușă din dos cu funcționalitate de telefon.”, spune cercetătorul în securitate cibernetică Gabi Cirlig despre telefonul său Xiaomi.
Cirlig vorbește cu Forbes, după ce a descoperit că Redmi Note 8-ul său urmărește mare parte din ceea ce face el pe telefon. Acesta menționează că datele sale de utilizare au fost trimise pe servere la distanță hostate de Alibaba. Mai mult decât atât, susține că aparent aceste servere ale Alibaba au fost închiriate de Xiaomi.
Cirlig spune că ceea ce a găsit este îngrijorător. S-ar părea că mai multe tipuri de date din dispozitivul său mobil au fost colectate. Astfel că, se teme că identitatea și viața sa privată au fost expuse companiei din China.
Când s-a uitat pe Web de pe browserul implicit de la Xiaomi, a constatat că acesta a înregistrat toate website-urile pe care le-a vizitat. De asemenea, au fost înregistrate inclusiv întrebări dacă a folosit motorul de căutare de la Google sau DuckDuckGo. Și mai ciudat este că a fost înregistrat fiecare articol vizualizat pe un feed de știri al software-ului Xiaomi.
Se pare că, utilizatorul a fost urmărit chiar și atunci când avea activat modul incognito.
Telefonul lui înregistra până și documentele pe care le-a deschis și pe ce ecran a da swipe, bara de status și setările paginii. Toate aceste date au fost trimise pe servere din Singapore și Rusia. În vreme ce domeniile Web pe care le hostau erau înregistrate în Beijing.
Avertisment cu privire la Xiaomi – Cercetătorul în securitate cibernetică, Andrew Tierney a investigat problema
Acesta a descoperit că inclusiv browserele Xiaomi de pe Google Play, Mi Browser Pro și Mint Browser colectau aceleași date. Împreună, acestea au ajuns la 15 milioane de descărcări, potrivit statisticilor Google Play.
Potrivit celor spuse de Cirlig, mult mai multe milioane de utilizatori ar putea fi afectați. ”E o problemă serioasă de intimitate!”, descrie cercetătorul ceea ce se întâmplă. Evaluat la 50 de miliarde de dolari, Xiaomi este unul dintre 4 cei mai mari producători de smartphone-uri din lume.
Xiaomi vinde foarte mult pentru că a reușit să le ofere utilizatorilor dispozitive ieftine cu funcționalități ale telefoanelor high-end. Însă, pentru acei consumatori, costul mic ar putea ascunde un preț mai mare: cel al intimității.
Cirlig crede că problemele ar putea să afecteze mai multe modele decât Redmi Note 8. Acesta a descărcat firmware pentru alte telefoane Xiaomi. Printre modele se numără Xiaomi Mi 10, Redmi K20 și Mi MIX 3. Apoi a confirmat că toate aveau același cod de browser. Acest aspect l-a determinat să suspecteze că au aceleași probleme de intimitate.
Deși Xiaomi pretinde că datele au fost criptate când au fost transferate în încercarea de a proteja datele utilizatorilor, Cirlig a descoperit că poate vedea cu ușurință ce date erau transferate din dispozitivul lui. Acest lucru a fost posibil prin decodarea unor informații care erau ascunse cunoscute drept base64.
Cirlig a avut nevoie doar de câteva secunde să schimbe datele mărunțite în bucăți de informații lizibile.
Ce comentează Xiaomi
”Afirmațiile din cercetare sunt neadevărate.” și ”Intimitatea și securitatea sunt preocuparea noastră principală.”, adăugând că ”Urmărește cu strictețe și respectă pe deplin legile și reglementările locale cu privire la confidențialitatea datelor privind utilizatorii.”
În același timp, un purtător de cuvânt al Xiaomi a confirmat că Xiaomi colectează date de navigare. Acesta susține că informațiile au fost anoimizate, deci nu sunt legate de nicio identitate. De asemenea, adaugă faptul că utilizatorii au consimțit la o astfel de urmărire.
Însă, potrivit celor precizate de Cirlig și Tiernet, nu doar datele de căutare pe site și în motorul de căutare au fost transmise pe servere. Xiaomi a colectat inclusiv date despre telefon, numere unice pentru identificarea dispozitivului specific și a versiunii Android. Cirlig a spus că astfel de ”metadate” ar putea fi ”ușor corelate cu un om real din spatele ecranului.”
Reprezentantul Xiaomi a negat că datele de navigare au fost înregistrate sub modul incognito. Cu toate că, atât Cirlig, cât și Tiernet au demonstrat prin testele lor independente că obiceiurile de navigare sunt trimise către servere la distanță.
Forbes a transmis Xiaomi un video în care Cirlig exemplifică modul în care istoricul lui incognito pe site-uri pentru adulți a fost înregistrat și trimis pe servere la distanță.
Chiar și așa, Xiaomi neagă. ”Acest video prezintă colectarea anonimă a navigării în modul incognito. Este una dintre cele mai comune soluții adoptate de companiile de internet pentru a îmbunătăți experiența de navigare prin analizarea informațiilor ce nu pot fi asociate unei persoane.”, spune reprezentantul companiei.
Spre finalul cercetării, Cirlig a descoperit că aplicația de muzică de la Xiaomi de pe telefonul său colecta informații despre obiceiul lui de ascultare. Un mesaj a fost clar pentru cercetător: când tu asculți, Xiaomi ascultă.
Xiaomi a publicat un articol pe blog în care a prezentat cum și când colectează adresele URL vizitate de utilizatorii săi. Compania a reiterat că datele transferate de pe dispozitivele și browserele Xiaomi au fost anonimizate și nu sunt atașate la nicio identitate.
