04/05/20
Китайская компания Xiaomi неправомерно следит за пользователями, утверждает специалист по безопасности Габи Цирлиг (Gabi Cirlig). К такому выводу исследователь пришел после того, как заметил, что его новенький смартфон Xiaomi Redmi Note 8 следит за всеми его действиями на устройстве и отправляет информацию на удаленные серверы, арендованные у другого китайского техногиганта Alibaba.
По словам Цирлига, установленный по умолчанию браузер Xiaomi записывает данные о всех посещенных сайтах, включая поисковые запросы в Google и DuckDuckGo, и просмотренные материалы в новостной ленте. При этом запись данных ведется даже в активированном режиме «Инкогнито». Что интересно, передаваемая информация шифровалась с помощью ненадежного алгоритма base64, в итоге специалисту понадобилось всего несколько секунд, чтобы расшифровать данные.
Устройство также записывало информацию об открытых папках, переключении экранов, включая строку статуса и страницу настроек. Далее все сведения отправлялись на серверы в Сингапуре и России, хотя их домены зарегистрированы в Пекине.
По запросу издания Forbes исследователь Эндрю Тирни (Аndrew Tierney) провел дальнейшее расследование и выяснил, что браузеры Mi Browser Pro и Mint Browser (их суммарное число загрузок превышает 15 млн) собирают аналогичные данные.
По оценкам Цирлига, проблема затрагивает и другие модели смартфонов китайского производителя, в частности, Xiaomi MI 10, Xiaomi Redmi K20 и Xiaomi Mi MIX 3. Прошивки устройств содержат тот же браузерный код, что и Redmi Note 8, а это может говорить о тех же проблемах с конфиденциальностью.
Xiaomi, в свою очередь, утверждает, что все заявления не соответствуют действительности, компания строго следит за соблюдением локальных законов, касаемых безопасности данных. По словам вице-президента Xiaomi и главы индийского подразделения Xiaomi Ману Кумара Джайна, Mi Browser не собирает данные без разрешения пользователей, а собираемые в режиме «Инкогнито» сведения полностью зашифрованы и анонимизированы.
Xiaomi также объявила, что добавит переключатель для сбора данных в режиме «Инкогнито» в браузерах Mi Browser и Mint Browser, предоставляя пользователям возможность самостоятельно отключить отслеживание их действий и других данных.
