Avertisment: Xiaomi înregistrează utilizarea Web și a telefoanelor a milioane de oameni

„Este un backdoor cu funcționalitate de telefon”, spune Gabi Cirlig despre noul său telefon Xiaomi. El nu face decât să glumească pe jumătate.

Cercetătorul experimentat în domeniul securității cibernetice a descoperit că o cantitate îngrijorătoare de date legate de comportamentul său era urmărite.

Cirlig a facut acasta declarație către Forbes, după ce a descoperit că smartphone-ul său Redmi Note 8 urmărea o mare parte din ceea ce făcea la telefon. Aceste date au fost apoi trimise către serverele la distanță găzduite de un alt gigant tehnologic chinez, Alibaba, care au fost închiriate de către Xiaomi.

Între timp, la solicitarea Forbes, cercetătorul în domeniul securității cibernetice Andrew Tierney a investigat în continuare. El a descoperit că browserele postate de Xiaomi pe Google Play – Mi Browser Pro și Browserul Mint – colectau aceleași date. Împreună, au peste 15 milioane de descărcări, conform statisticilor Google Play.

Evaluat la 50 de miliarde de dolari, Xiaomi este unul dintre primii patru producători de smartphone-uri din lume prin cota de piață, în spatele Apple, Samsung și Huawei. Cea mai mare vânzare a lui Xiaomi sunt dispozitivele ieftine, care au multe din aceleași calități ca smartphone-urile de ultimă generație. Dar pentru clienți, acest cost scăzut ar putea veni cu un preț scump: confidențialitatea lor.

Cirlig crede că problemele afectează mai multe modele decât cel testat de el. El a descărcat firmware-ul pentru alte telefoane Xiaomi – inclusiv dispozitivele Xiaomi MI 10, Xiaomi Redmi K20 și Xiaomi Mi MIX 3. Apoi a confirmat că au același cod de browser, ceea ce l-a determinat să suspecteze că au aceleași probleme de confidențialitate.

Dar, după cum au subliniat Cirlig și Tierney, nu doar căutarea pe site sau site-ul Web a fost trimisă serverului. Xiaomi a colectat, de asemenea, date despre telefon, inclusiv numere unice pentru identificarea dispozitivului specific și a versiunii Android. Cirlig a spus că astfel de „metadate” ar putea fi „ușor corelate cu un om real din spatele ecranului.”

Atât Cirlig, cât și Tierney au spus că comportamentul lui Xiaomi a fost mai invaziv decât alte browsere precum Google Chrome sau Apple Safari. „Este mult mai rău decât oricare dintre browserele principale pe care le-am văzut”, a spus Tierney. „Mulți dintre ei fac analize, dar este vorba despre utilizare și erori. Preluarea comportamentului browserului, inclusiv adresele URL, fără consimțământ explicit și în modul de navigare privată, este un lucru rău. „

„Analiza comportamentală”

Xiaomi pare să aibă un alt motiv pentru colectarea datelor: pentru a înțelege mai bine comportamentul utilizatorilor săi. Utilizează serviciile unei companii de analiză comportamentală numită Sensors Analytics. Startup-ul chinez, cunoscut și sub denumirea de Sensors Data, a strâns 60 de milioane de dolari de la înființarea sa în 2015, primind recent 44 milioane de dolari într-o rundă condusă de firma de capital privat din New York, Warburg Pincus, care a prezentat și finanțare de la Sequoia Capital China. După cum este descris în Pitchbook, un tracker al finanțării companiei, Sensors Analytics este un „furnizor al unei platforme aprofundate de analiză a comportamentului utilizatorilor și servicii profesionale de consultanță”. Instrumentele sale îi ajută pe clienții săi „să exploreze poveștile ascunse din spatele indicatorilor în explorarea comportamentelor cheie ale diferitelor afaceri.”

Atât Cirlig, cât și Tierney au descoperit că aplicațiile lor Xiaomi trimiteau date către domenii care păreau la referința Sensors Analytics, inclusiv utilizarea repetată a SA. Când faceți clic pe unul dintre domenii, pagina conținea o propoziție: „Sensors Analytics este gata să primească datele dvs.!” A existat o API numită SensorDataAPI – o API (interfață de programare a aplicației) fiind software-ul care permite accesul terților la datele aplicației. Xiaomi este, de asemenea, listat ca client pe site-ul web al Sensors Data.

Fondatorul și CEO-ul Sensors Data, Sang Wenfeng, are o istorie lungă în urmărirea utilizatorilor. La gigantul chinez de internet Baidu a construit o platformă mare de date pentru jurnalele utilizatorilor Baidu, potrivit CV-ului sau.

Purtătorul de cuvânt al Xiaomi a confirmat relația cu startup-ul: „În timp ce Sensors Analytics oferă o soluție de analiză a datelor pentru Xiaomi, datele anonime colectate sunt stocate pe serverele proprii ale Xiaomi și nu vor fi partajate cu Sensors Analytics sau cu alte companii terțe.”

Este a doua oară în două luni, când o companie uriașă de tehnologie chineză a fost depistată că urmărește obiceiurile de utilizare a telefoanelor. O aplicație de securitate cu un browser „privat” realizat de Cheetah Mobile, o companie publică listată la Bursa din New York, a fost depistată colectând informații despre utilizarea Web, numele punctelor de acces Wi-Fi și date mai granulare. Cheetah a susținut că este necesar să colecteze informațiile pentru a proteja utilizatorii și a îmbunătăți experiența lor.

La sfârșitul cercetărilor sale, Cirlig a descoperit și că aplicația de muzică a lui Xiaomi pe telefonul său colecta informații despre obiceiurile sale de ascultare: ce melodii au fost cântate și când.

Un mesaj a fost clar pentru cercetător: când ascultați, Xiaomi ascultă și el.

Xiaomi a postat un blog în care a precizat cum și când colectează adresele URL vizitate de utilizatorii săi. Citiți-l integral aici.

Compania a reiterat faptul că datele transferate de pe dispozitivele și browserele Xiaomi au fost anonimizate și nu sunt atașate la nicio identitate.

Sursa: www.forbes.com