Дослідник з безпеки Габі Кірліг зауважив, що смартфони Xiaomi та її програмне забезпечення збирають дані про користувачів і цілеспрямовано надсилають на віддалені сервери Alibaba, які нібито орендовані компанією Xiaomi. «Дослідження» були проведені на моделі Redmi Note 8. Про це він розказав ресурсу Forbes. Проте як з’ясувалося в подальшому, Xiaomi Mi 10, Redmi K20 та Mi Mix 3 також діють за цим сценарієм.
Xiaomi слідкує навіть в режимі інкогніто
Коли Кірлінг користувався Інтернетом, браузер Xiaomi записував всі відвідані ним сайти. Не допомагав навіть режим «Інкогніто» – браузер однаково «знав», які сайти відвідує користувач. Пристрої також записували, які папки він відкрив, а також яка взаємодія відбувалася з екраном, включаючи рядок стану та меню налаштувань. Всі дані були упаковані і відправлені на віддалені сервери в Сінгапурі і Росії, хоча веб-домени, які вони розміщували, були зареєстровані в Пекіні.
- Пристроям на Android загрожує новий троян EventBot
- Redmi Note 9 представили на європейському ринку
- Xiaomi Mi Note 10 Lite отримав Snapdragon 730G та Sony IMX686
На прохання Forbes, інший дослідник кібербезпеки Ендрю Тірні провів подальше розслідування. Він також виявив, що браузери, що поставляються Xiaomi в Google Play, – Mi Browser Pro та Mint Browser – збирають одні й ті ж дані. Разом вони мають понад 15 млн завантажень, згідно зі статистикою Google Play.
Xiaomi Mi 9T (Redmi K20)
Обидва дослідники називають це серйозною проблемою конфіденційності. Проте, Xiaomi заперечує і не вважає це порушенням. Xiaomi є одним з чотирьох найбільших виробників смартфонів у світі за часткою ринку, поступаючись Apple, Samsung і Huawei. Компанія пропонує доступні пристрої, які володіють багатьма характеристиками, що і більш дорогі смартфони. Але для користувачів така низька ціна може коштувати більшого – конфіденційності.
Компанія заявляє, що дані були зашифрованими під час передачі на сервери. А значить через них не можна ідентифікувати конкретного користувача. Однак, Кірліг виявив, що він може швидко побачити те, що було взято з його пристрою, розшифрувавши частину інформації, яка була захована у вигляді кодування, відомого як base64. Йому знадобилося лише кілька секунд, щоб перетворити «зашифровані» дані у фрагменти інформації, які можна прочитати.
Реакція Xiaomi
У відповідь на висновки Xiaomi зазначила, що політика конфіденційності має важливе значення. Компанія дотримується місцевих законів і норм стосовно питань конфіденційності даних користувачів. Але представник компанії підтвердив, що дані про перегляди таки збираються, стверджуючи, що інформація була анонімною, тому не була прив’язана до конкретних користувачів. Вона сказала, що користувачі самі дали згоду на таке відстеження.
Але, як відзначають дослідники, на сервер відправляються дані не тільки про веб-сайти або пошук в Інтернеті. Xiaomi також збирала дані про телефон, в тому числі унікальні номери для ідентифікації конкретного пристрою і версії Android. Кірліг сказав, що такі «метадані» можуть «легко співвідноситися з реальною людиною за екраном».
Представник Xiaomi також заперечував, що дані перегляду записувалися в режимі інкогніто. Однак обидва дослідники виявили, що їхні веб-звички відправляються на віддалені сервери незалежно від того, в якому режимі працює браузер. Вони також сказали, що поведінка Xiaomi була більш агресивною, ніж в інших браузерах, таких як Google Chrome або Apple Safari.
«Поведінкова аналітика»
У Xiaomi, схоже, є ще одна причина для збору даних: щоб краще зрозуміти поведінку своїх користувачів. Вона користується послугами аналітичної компанії Sensors Analytics. Китайський стартап, також відомий як Sensors Data, зібрав $ 60 млн з моменту свого заснування в 2015 році, а останній раз отримав $ 44 млн в раунді під керівництвом нью-йоркської приватної акціонерної компанії Warburg Pincus, яка також фінансувалася Sequoia Capital China. Sensors Analytics є постачальником платформи для глибокого аналізу поведінки користувачів і професійних консультаційних послуг. Його інструменти допомагають клієнтам досліджувати приховані історії, що ховаються за індикаторами, у вивченні ключових моделей поведінки різних підприємств.
Дослідники виявили, що мобільні додатки Xiaomi відправляють дані в домени, які, мабуть, посилаються на Sensors Analytics. При натисканні на один з доменів на сторінці було одне речення: «Sensors Analytics готова отримати ваші дані!» API, під назвою SensorDataAPI, дозволяє третім сторонам отримувати доступ до даних додатка. Xiaomi також вказана як клієнт на веб-сайті Sensors Data. Засновник і генеральний директор Sensors Data, Санг Веньфен, вже давно займається відстеженням користувачів. У китайському інтернет-гіганті Baidu, згідно з біографією його компанії, він створив велику платформу даних для користувацьких журналів Baidu.
Представник Xiaomi підтвердив зв’язок зі стартапом: «Хоча Sensors Analytics надає рішення для аналізу даних, зібрані анонімні дані зберігаються на власних серверах Xiaomi і не будуть передані Sensors Analytics або будь-яким іншим стороннім компаніям».
Це вже не вперше, коли Xiaomi звинувачують у стеженні за користувачами. Нещодавно, було виявлено, що додаток музичного плеєра компанії збирає інформацію про звички користувача – які пісні грають і коли.
Правила коментування
Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.
- Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
- На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
- Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
- Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
- Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
- Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
- Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.
Схожі новини
Мобільний телефон чи смартфон? 5 переваг кнопкового пристрою
У світі, де технології розвиваються зі шаленою швидкістю, кнопковий мобільний телефон, здається, залишається відстороненим від цього галасливого прогресу. Проте, серед яскравих та розкішних смартфонів, цей пристрій зберігає свою нішу і таки відіграє вагому роль. Чи можливо, насправді, він пропонує щось більше, ніж простий звʼязок? Звісно, смартфон давно став невідʼємним атрибутом нашого повсякденного життя. Робота, пошук […]
Майже 50% популярних фінансових застосунків в Україні російського походження
Останнім часом, шукаючи мобільні застосунки в Google Play та App Store стає все важче зрозуміти, звідки є розробник. А все тому, що після повномасштабної війни російські компанії та розробники видають себе за інших. Шокуючим фактом стало те, що майже 50% популярних фінансових застосунків в Україні російського походження. Це стало відомо завдяки спільному дослідженню фінтех-стартапа Saldo […]