Xiaomi szpieguje. Taki frazes jak mantrę powtarzali przeciwnicy wszystkiego co chińskie. Teraz jak grom z jasnego nieba gruchnęły doniesienia Forbesa, który powołując się na swoje śledztwo oraz słowa eksperta do spraw cyberbezpieczeństwa, Gabiego Cirliga, ostrzega przed korzystaniem ze sprzętu Xiaomi. Cirlig mówi wprost: „te urządzenia to backdoory z funkcją dzwonienia”. Oskarżenia są poważne, ale stojące za nimi dowody trudno będzie podważyć.
Gabi Cirlig w rozmowie z Forbesem przytacza przykład swojego smartfonu Redmi Note 8, który monitorował zaskakująco wiele jego aktywności – związanych nie tylko z nawykami korzystania z telefonu, ale także życiem prywatnym. Wszystkie informacje wysyłane były do zdalnych serwerów w Rosji i Singapurze, należących do innego chińskiego giganta, firmy Alibaba. Jakie dokładnie dane kolekcjonował telefon?
Kontrowersje wokół oprogramowania Xiaomi
Podczas korzystania z przeglądarki dostarczanej przez Xiaomi, ta zapisywała absolutnie wszystkie strony, które odwiedzał, wraz zapytaniami wpisywanymi w wyszukiwarkach. Nie miało znaczenia to, czy składał je w Google, czy w nastawionej na prywatność DuckDuckGo. Monitorowana była nawet przeglądana zawartość w „news feedzie”, a naruszenia prywatności dotyczyły nawet treści przeglądanych w trybie incognito. To dopiero początek góry lodowej. Cirlig podaje, że smartfon zapisywał to, które foldery na urządzeniu były otwierane, a także to, pomiędzy jakimi ekranami przełączał się użytkownik.
Forbes zlecił dokładniejszą analizę sytuacji innemu ekspertowi, Andrew Tierney’owi. Ten wykazał, że w identyczny sposób zachowywały się dostępne w Google Play inne przeglądarki – Mi Browser Pro oraz Mint Browser, które po dziś dzień pobrano łącznie ponad 15 milionów razy.
Cirlig zapragnął sprawdzić, czy podejrzane zachowanie jest unikalne dla użytkowanego przez niego modelu smartfonu i danego oprogramowania. Aby to zweryfikować pobrał firmware dla kilku innych smartfonów Xiaomi, w tym Xiaomi Mi 10, Xiaomi Mi MIX 3 oraz Redmi K20. Dzięki temu udało mu się potwierdzić, że wszystkie urządzenia dzieliły ten sam kod przeglądarki, na podstawie czego można domniemywać, że sprzęty działają w tej kwestii w ten sam sposób.
Redmi Note 8 – zachowanie tego modelu telefonu wzbudziło niepokój badacza bezpieczeństwa. | Źródło: Xiaomi
Na domiar złego, wygląda na to, że Xiaomi przesyła dane na serwery w sposób odmienny do deklarowanego. Przedstawiciele chińskiej firmy twierdzą, że te są szyfrowane w celu ochrony prywatności użytkowników. Cirgil natomiast w prosty sposób odkodował część informacji, ukrytej w formie relatywnie łatwo hakowalnego kodowania transportowego base64. Proces ten zajął…. kilka sekund.
„Moje główne obawy dotyczą tego jak łatwo dane przesyłane na serwery Xiaomi mogą być połączone z określonym użytkownikiem”, ostrzegł Cirlig.
Odpowiedź Xiaomi na zarzuty jest krótka
Chiński producent odniósł się już do zarzutów w dość lakonicznym stylu. „Zarzuty eksperta są nieprawdziwe. Prywatność i bezpieczeństwo danych to nasze najwyższe priorytety”. Do tego w oświadczeniu kierowanym do Forbesa firma dodała, że „ścisłe przestrzega lokalnych praw i regulacji związanych z prywatnością danych użytkowników”. Jednocześnie potwierdzono, że dane przeglądania są gromadzone, ale przy tym anonimizowane. Xiaomi podaje, że użytkownik musi uprzednio wyrazić zgodę na takie działanie. Zaprzeczono też, że zbierane są dane w trakcie przeglądania przez użytkownika zasobów sieci w trybie incognito.
Problem polega na tym, że obaj cytowani przez Forbesa badacze dowiedli, że zbierane informacje znacząco wykraczały poza kwestię wyszukań. Xiaomi gromadzi przy okazji metadane o urządzeniach, które według obu mężczyzn mogą zostać powiązane z konkretną osobą. Cirlig i Tierney dowiedli, że dane wysyłane są zarówno w trybie incognito jak i poza nim. Forbes zaprezentował przedstawicielowi Xiaomi dowód takiego stanu rzeczy w formie wideo.
Na materiale dostarczonym przez Forbesa widać, że wyszukanie frazy „Porn” oraz wizyta na stronie PornHub, które odbywały się w trybie incognito trafiły na zdalne serwery. Nawet w obliczu tej informacji przedstawiciel Xiaomi negował istnienie problemu: „W tym filmie pokazano zbiór anonimowych danych przeglądania, które są jednym z najczęstszych rozwiązań stosowanych przez firmy internetowe w celu poprawy ogólnej wygody korzystania z przeglądarki dzięki analizie informacji niemożliwych do zidentyfikowania”, ocenił.
Eksperci kontrowali tę linię obrony podając, że przeglądarki internetowe Xiaomi wykorzystują znacznie większe ilości danych od Chrome i Safari, które wysyłają na serwery dane dotyczące błędów lub zużycia zasobów.
Xiaomi nie odniosło się w ogóle do zarzutu monitorowania wykorzystania aplikacji, o które firmę podejrzewał Cirlig, a co potwierdził inny anonimowy ekspert, zasłaniając się NDA.
Najnowszy smartfon Xiaomi – Xiaomi Mi 10 Lite. | Źródło: Xiaomi
Po co Xiaomi dane użytkowników?
Forbes podaje, że Xiaomi dane wysyła na potrzeby należącego do firmy startupu o nazwie Sensor Analytics, znanego także pod nazwą Sensors Data. Ten zajmuje się doradztwem korporacyjnym w zakresie nawyków i zachowań konsumentów.
Bez względu na cel takiego działania, wszystkim klientom Xiaomi należy się bardzo wyczerpujące wyjaśnienie sprawy.
[Aktualizacja, godzi. 18:00, 1.05.2020]: Do naszej redakcji nadesłał oświadczenie polski oddział Xiaomi. Zamieszczamy je w całości poniżej.
„Xiaomi jest zaniepokojone tym co przeczytało w artykule opublikowanym przez Forbes. Firma uważa, że została źle zrozumiana w związku z tym, co przekazała odnośnie zasad związanych z polityką prywatności danych. Prywatność i bezpieczeństwo internetowe naszych użytkowników są najwyższym priorytetem w Xiaomi. Jesteśmy przekonani, że ściśle przestrzegamy i stosujemy się do lokalnych przepisów i regulacji. Jesteśmy w kontakcie z Forbes, by wyjaśnić tę niefortunną, błędną interpretację.”
[Aktualizacja]: Sprawa znalazła swój finał (?). Czytaj więcej: Xiaomi odpiera zarzuty o szpiegostwo i… aktualizuje swoje przeglądarki
Źródło: Forbes