Смартфоны Xiaomi шпионят за владельцами и отправляют данные в Китай
Как сообщает Forbes, смартфоны Xiaomi и установленный на них браузер по умолчанию записывают каждый веб-сайт, который посещает пользователь, включая сайты, открытые в режиме «инкогнито» или использующие веб-браузер DuckDuckGo, ориентированный на конфиденциальность.
Габриэль Сирлиг, исследователь безопасности White Ops, работавший с Forbes, обнаружил, что его смартфон Redmi Note 8 записывает открытые им папки, просмотренные им экраны и измененные настройки. Хотя домены были размещены в Пекине, эти данные отправлялись на серверы в России и Сингапуре.
Данные были зашифрованы, но Сирлиг расшифровал информацию, зашифрованную в формате base64.
Сирлиг загрузил прошивку других популярных смартфонов Xiaomi, таких как Xiaomi MI 10, Xiaomi Redmi K20 и Xiaomi Mi MIX 3. Поскольку эти смартфоны имеют одинаковый код браузера, Cirlig предполагает, что у них будут те же проблемы безопасности, что и у его собственного Xiaomi Redmi Note 8. Также было установлено, что приложение музыкального плеера Xiaomi собирало информацию о том, какие песни воспроизводились и когда они воспроизводились.
Исследователь кибербезопасности Эндрю Тирни, как сообщается, обнаружил, что Mi Browser Pro и Mint Browser, которые загружены через Google Play более 15 миллионов раз, собирают те же данные.
В ответ Xiaomi сообщает, что «утверждения этих исследований не соответствуют действительности», что «конфиденциальность и безопасность имеют первостепенное значение» и что они «строго соблюдаются и полностью соответствуют местным законам и нормативным актам по вопросам конфиденциальности пользовательских данных». Компания заявила, что во время сбора данных о просмотре эти данные были анонимными.
Представитель Xiaomi отрицал, что данные просмотра записывались, когда пользователи находились в режиме «инкогнито». Forbes предоставил Xiaomi видео, сделанное Сирлигом, в котором показана информация о результатах поиска, отправляемых на удаленные серверы в режиме «инкогнито», но Xiaomi сообщил, что там «показан сбор анонимных данных о просмотрах, что является одним из наиболее распространенных решений, принятых интернет-компаниями, чтобы улучшить общее впечатление от браузера путем анализа информации, не идентифицирующей личность».
Xiaomi якобы собирает эти данные, чтобы лучше понять поведение своих пользователей, и отправляет их в компанию Sensors Analytics, занимающейся поведенческой аналитикой. Xiaomi подтвердила, что «Sensors Analytics предоставляет решение для анализа данных для Xiaomi», но сказала, что «собранные анонимные данные хранятся на собственных серверах Xiaomi и не будут переданы Sensors Analytics или любым другим сторонним компаниям».
После публикации материала в нашу редакцию обратились представители компании Xiaomi и прокомментировали ситуацию:
«В компании Xiaomi с разочарованием восприняли недавнюю статью в издании Forbes. В материале имеет место неверное понимание нашей позиции, связанной с принципами безопасности и защиты личных данных. Защищенность данных наших пользователей и безопасность использования интернета входят в число основных приоритетов для Xiaomi. Мы убеждены в том, что строго соблюдаем и выполняем все требования местных законов и правил. Мы уже обратились к Forbes и дали свои пояснения относительно возникшего досадного непонимания».