264

Uwaga wszyscy posiadacze Xiaomi. Firma szpieguje każdy wasz ruch!

xiaomi szpiegowanie
Gabi Cirlig - specjalista do spraw cyberbezpieczeństwa - w rozmowie z Forbesem pokazał, w jaki sposób wszystkie dane o jego aktywności w sieci na telefonie Xiaomi były wysyłane na chińskie i rosyjskie serwery. Jak się okazuje, nie trzeba mieć nawet telefonu marki, by ta mogła cię szpiegować.

Bezpieczeństwo to w dzisiejszych czasach rzecz równie pożądana, co trudna do osiągnięcia. Nie ma bowiem możliwości, by istnieć dziś bez zostawiania „cyfrowego śladu” naszych aktywności. Dlatego więc ufamy, że firmy, którym powierzamy nasze dane, będą ich dobrze strzec. Jest oczywiście szereg przedsiębiorstw, które żyją ze zbierania i handlu danymi użytkowników, jak Facebook czy Google, ale ich działalność jest przynajmniej jawna. Gorzej, jeżeli firma zbiera nieokreślone ilości danych nie mówiąc o tym użytkownikowi a następnie wysyła je w nieokreślone miejsce. Nie tylko jest to niezgodne z prawem i stawia pod znakiem zapytania intencje takiego przedsiębiorstwa, ale też oznacza, że jego klienci są w dużym niebezpieczeństwie. Dziś taką firmą okazało się Xiaomi.

Xiaomi zbiera wszystkie informacje o twojej aktywności w sieci

Jeżeli jesteś posiadaczem jakiegokolwiek telefonu od Xiaomi, Redmi czy Poco, jest bardziej niż prawdopodobne, że wszystkie informacje o tym, co robisz w sieci (połączone oczywiście z twoim ID) są na chińskich i rosyjskich serwerach. Dowiódł tego Gabi Cirlig, który w wywiadzie dla Forbesa opowiedział o swoim odkryciu. Dowiódł on, że w przypadku jego telefonu Redmi Note 8 każda aktywność, jaką podejmował w sieci  – odwiedzane strony, przesyłane zdjęcia, wpisy w wyszukiwarkach, wyniki w newsfeedzie – była rejestrowana i przesyłana na zagraniczne serwery. To samo tyczyło się tego, jak używał telefonu – otwieranych folderów, przeglądanych plików a nawet zachowania w odtwarzaczu muzycznym! Jak udało mu się ustalić, część z serwerów na które płyną dane zlokalizowana jest w Rosji i Singapurze, jednak zarejestrowane są w Pekinie na innego chińskiego giganta – firmę Alibaba. Problem nie dotyczy tylko tego modelu. Cirlig sprawdził trzy inne telefony – Xiaomi MI 10, Xiaomi Redmi K20 i Xiaomi Mi MIX 3. Wszystkie miały dokładnie ten sam kod przeglądarki, zbierający i wysyłający nasze dane w obce ręce.

Nie trzeba mieć Xiaomi, żeby być szpiegowanym

Jak się okazuje, wspomniany kod nie został umieszczony wyłącznie na telefonach Xiaomi. Informacje o naszej aktywności zbierają też dostępne w Sklepie Google przeglądarki Mi Browser Pro i Mint Browser. Do chwili obecnej zostały one pobrane w sumie ponad 15 milionów razy.

Tłumaczenie Xiaomi nr 1 – nie zbieramy danych, a jak już zbieramy to anonimowo

Oczywiście Forbes zwrócił się od razu do Xiaomi z prośbą o wyjaśnienia. Rzecznik prasowy nie miał łatwego zadania, a jego tłumaczenie na dobrą sprawę tylko pogorszyło wizerunek firmy. Zaprzeczył on oczywiście, by duża część z odkryć Cirlinga była prawdą i zapewnił, że bezpieczeństwo użytkowników jest priorytetem spółki. Potwierdził on jednak, że Xiaomi dane zbiera, ale są one anonimizowane i w żaden sposób nie da się ich powiązać ze sobą nawzajem ani też konkretnym użytkownikiem. Cirling w prosty sposób dowiódł, że jest to kłamstwo, pokazując, że obok danych o aktywności do Xiaomi płyną także dane o telefonie – jego numer identyfikacyjny czy wersja Androida. Takie dane pozwalają spiąć wszystkie informacje w profil konkretnej osoby, a dzięki numerowi ID – powiązać z konkretnym człowiekiem.

Tłumaczenie Xiaomi nr 2 – wszystkie dane są szyfrowane, więc są bezpieczne

W dalszym ciągu wypowiedzi rzecznik powiedział, że jeżeli już Xiaomi zbiera dane, to są one szyfrowane, więc nie ma ryzyka, że jakakolwiek niepożądana osoba zrobi z nich użytek na szkodę użytkownika (co brzmi trochę tak, jakby Xiaomi było tą „pożądaną”). Jak pokazał Ciring – było to kłamstwo, ponieważ o ile dane są faktycznie zaszyfrowane, to wykorzystany do tego algorytm base64 jest możliwy do odkodowania w kilka sekund. Samemu specjaliście tyle właśnie zajęła zamiana wysyłanego na serwery Alibaby pliku w informacje o swojej aktywności w sieci.

Tłumaczenie Xiaomi nr 3 – szanujemy prywatność użytkowników

Jednym ważniejszych punktów rozmowy było to, że firma Xiaomi nie zbiera danych przeglądarki, kiedy użytkownicy tego nie chcą, czyli w trybie incognito. Rzecznik był o tym tak przekonany, że nie zmienił zdania nawet w momencie, w którym redaktor Forbesa przedstawił mu nagranie, na którym widać, jak zapytanie „porn” wpisane w trybie incognito w wyszukiwarkę jest wysyłane na serwery firmy.

Jedyne co rzecznik odpowiedział na ten film, to:

Ten film przedstawia zbieranie anonimowych danych przeglądania, co jest jednym z najczęstszych rozwiązań stosowanych przez firmy w celu poprawy ogólnej wygody korzystania z przeglądarki poprzez analizę informacji, które nie umożliwiają identyfikacji użytkownika

Innymi słowy: problemu nie ma, proszę się rozejść.

Telefony Xiaomi to „backdoory z funkcją dzwonienia”

Nie da się określić dokładnie, które urządzenia  Xiaomi, Redmi czy POCO służą do zbierania danych użytkowników. Nie wiadomo też, czy po takim skandalu firma zaprzestanie swoich działań. Nie jest to bowiem pierwszy przypadek, gdy chińska firma sprzedawała swoje telefony w niskich cenach, a wraz z nimi dostarczała oprogramowanie pozwalające szpiegować kupujących. Lata temu na podobnym procederze zostało przyłapane ZTE. Problem polega na tym, że patrząc na nowe urządzenia Xiaomi, nie mamy tu do czynienia z budżetowcami sprzedawanymi poniżej swojej rynkowej ceny, ale z pełnoprawnymi flagowcami, także pod względem kwoty, którą przyjdzie za nie zapłacić. Oczywiście, to czy telefon jest drogi czy tani nie ma wpływu na to, że szpiegowanie użytkowników jest procederem skrajnie nieetycznym.

Forbes sugeruje, że dane użytkowników są przez Xiaomi zbierane na potrzeby kupionego przez nich startupu Sensor Anatitics zajmującego się doradzaniem przedsiębiorstwom na podstawie analizy zachowań konsumentów. Jakiekolwiek nie byłby powód, to fakt, że firma zbiera informacje o każdym ruchu użytkownika swoich urządzeń bez jego wiedzy, a następnie wysyła te informacje na serwery firm trzecich nie można uznać za cokolwiek innego niż skandal. Mam szczerą nadzieję, że ta sprawa nie stanie się tylko „newsem”, ale że względem firmy zostaną wyciągnięte poważne konsekwencje. W tym – przez samych kupujących. Nic bowiem nie nakłania do przestrzegania zasad bardziej niż spadająca sprzedaż.

Aktualizacja

Poniżej publikujemy oficjalne oświadczenie Xiaomi:

Xiaomi jest zaniepokojone tym co przeczytało w artykule opublikowanym przez Forbes. Firma uważa, że została źle zrozumiana w związku z tym, co przekazała odnośnie zasad związanych z polityką prywatności danych. Prywatność i bezpieczeństwo internetowe naszych użytkowników są najwyższym priorytetem w Xiaomi. Jesteśmy przekonani, że ściśle przestrzegamy i stosujemy się do lokalnych przepisów i regulacji. Jesteśmy w kontakcie z Forbes, by wyjaśnić tę niefortunną, błędną interpretację.

Aktualizacja 2

Xiaomi na swoim blogu odniosło się do zarzutów w artykule. Tutaj przedstawiona jest ich odpowiedź na doniesienia Forbesa.

Źródło: Forbes