Смартфоны Xiaomi и Redmi следят за пользователями — Wylsacom

Смартфоны Xiaomi и Redmi следят за пользователями

Исследователь безопасности, обнаруживший проблему, теперь называет их «бэкдором с функциональностью телефона».

Redmi Note 8T. Фото: Александр Побыванец / Wylsacom Media

Компания Xiaomi собирает личные данные пользователей слишком интенсивно. Мало того, эти данные защищаются спустя рукава. К такому выводу пришли несколько исследователей безопасности, чьи имена упоминаются Forbes.

Что произошло?

Исследователь безопасности Габи Кирлиг приобрёл Redmi Note 8 — один из бюджетников компании Xiaomi. Он решил изучить, как ведёт себя этот смартфон с данными пользователя. И полученный результат его не сильно обрадовал.

Оказалось, что все данные, получаемые смартфоном, уходят на серверы Alibaba, якобы арендованные Xiaomi. Эти серверы физически базируются в Сингапуре и России, но зарегистрированы в Пекине.

Какие именно данные собираются?

  • Персонифицированные данные о смартфоне: уникальные идентификационные номера устройства, версия Android;
  • Данные о местоположении пользователя;
  • Данные о просмотрах интернет-страниц во встроенном браузере Mi Browser. Они собирались даже в режиме «Инкогнито»;
  • Данные об открытии приложений и папок пользователем на экране смартфона;
  • Данные из строки состояния и меню настроек;
  • Данные о прослушанной музыке.

С помощью некоторых из этих данных, по мнению Кирлига, можно идентифицировать пользователя.

Но и это не главная проблема. Дело в том, что Xiaomi, отправляя эти данные на серверы, заявляет, что они зашифрованы. И это на самом деле так. Однако есть небольшая проблема.

Xiaomi использует стандартную кодировку base64. Её, по словам Габи Кирлига, легко взломать. Согласно его заявлению, ему потребовалось всего несколько секунд, чтобы расшифровать некоторые из данных.

Данные, отправляемые на их серверы, очень легко соотносятся с конкретным пользователем.

Габи Кирлиг

Исследователь безопасности

Также Кирлиг подозревает, что Xiaomi отслеживает, как пользователи используют приложения. Об этом свидетельствует информация, отправляемая на сервер во время использования смартфона. Анонимный собеседник Forbes, ранее тестировавший смартфоны компании, подтвердил эту информацию.

Что говорит Xiaomi?

Что всё в рамках закона, а собираемая информация анонимна и необходима лишь для исследования пользовательских привычек.

Также компания заявила, что данные о просмотренных страницах в режиме «Инкогнито» не записываются, однако есть свидетельства, что это не так.

После того как этот текст был опубликован, представители российского подразделения Xiaomi прислали нам официальное обращение:

В компании Xiaomi с разочарованием восприняли недавнюю статью в издании Forbes. В материале имеет место неверное понимание нашей позиции, связанной с принципами безопасности и защиты личных данных. Защищённость данных наших пользователей и безопасность использования интернета входят в число основных приоритетов для Xiaomi. Мы убеждены в том, что строго соблюдаем и выполняем все требования местных законов и правил. Мы уже обратились к Forbes и дали свои пояснения относительно возникшего досадного непонимания.

Xiaomi

Третья сторона

Судя по всему, все полученные данные обрабатываются китайской компанией Sensors Analytics. Об этом свидетельствует SensorDataAPI, а также ссылка, ведущая на сайт компании.

По данным PitchBook, этот стартап поставляет «платформу для глубокого анализа поведения пользователей и профессиональных консультационных услуг». Всё это помогает «исследовать истории, скрывающиеся за индикаторами, а также изучать модели поведения различных предприятий».

Но Sensors Analytics, по заявлению представителя Xiaomi, занимается лишь поставкой платформы для анализа, а все полученные данные хранятся на серверах компании.


Вероятно, многие пользователи готовы платить за низкую цену смартфонов своими личными данными, считая, что им нечего скрывать. Однако у каждого человека есть секреты. И неважно, в чём они выражаются — в тайной страсти к альбому «Поднимись над суетой» Аллы Пугачёвой 1980 года или же к каким-то определённым видам порно.

Для вас эти данные могут ничего не стоить. Но они будут очень дороги третьим лицам. Они могут заниматься персонализированной рекламой. А могут спрогнозировать вашу модель поведения в ответ на определённые действия.

Практически любые анонимные данные можно без особого труда деанонимизировать, если знать, что искать. Поэтому слежка за смартфоном — самым личным устройством для человека — может привести к фатальным результатам.

UPD: добавлено обращение российского представительства компании Xiaomi.

Предложения магазинов
  • Аноним

    Справедливости ради стоит уточнить, что шифрование и кодировка — разные вещи. И base64 это именно кодировка. Не шифрование. Он создан для конвертации информации в строку, а не шифрования. Так, он расшифровывается любым инструментом. Включая тупо командную строку мака или линукса. Ну или один из кучи онлайн сервисов.

  • Аноним

    По данной теме рекомендую прочитать книгу « Weapons of Math Destruction» Cathy O’Neil

  • Аноним

    В последнее время начал замечать что телефон странно себя ведёт. А после того как в соцсетях добавил фотографию об уйгурах (которых китайцы отправляют в концлагеря) то телефон начал притормаживать в некоторых приложениях батарейка иногда быстро садится а иногда нет. Очень странно в общем а на Самсунг С8 такого не замечал.

Комментарии для сайта Cackle