Эксперт по кибербезопасности Габи Кирлиг доказал, что его Redmi Note 8 отправлял информацию о том, что он делал в сети и на своем смартфоне, на удаленные серверы Alibaba, предположительно арендованные Xiaomi. Китайский производитель отрицает обвинения.
Эксперт обнаружил ряд тревожных процессов, осуществляемых устройствами Xiaomi. Габи Кирлиг заметил, что с его устройств отправлялись подозрительные пакеты. Он обнаружил, что основной браузер Xiaomi записывает весь его интернет-трафик. Независимо от того, использовал ли он Google или DuckDuckGo.
Xiaomi собирает информацию обо всем, что вы делаете онлайн
Каждый просмотр страницы был записан и отправлен на удаленные серверы. Более того, процесс работал даже тогда, когда Габи использовал режим инкогнито. Однако это еще не все. Устройство также сохраняло, какие папки использовал пользователь и между какими экранами он переключался.
Затем данные были упакованы и защищены очень простым кодом — Base64. Серлигу понадобилось несколько секунд, чтобы сломать его. Устройство отправляло все записи на удаленные серверы, расположенные в России и Сингапуре, чьи сайты были зарегистрированы в Пекине.
Forbes поручил другому эксперту по кибербезопасности проанализировать веб-браузеры Xiaomi. Эндрю Тирни обнаружил два приложения, которые работали с одинаковым кодом. Оба доступны в магазине Google Play — Mi Brower Pro и Mint Browser. Каждый из них загружал и отправлял одни и те же данные, и он был установлен 15 миллионов раз.
Проблема, обнаруженная Кирлингом, относится не только к Redmi Note 8. Эксперт проверил программное обеспечение для других телефонов и обнаружил идентичный процесс. Тот же код браузера был найден в Xiaomi Mi 10, Xiaomi Mi MIX 3 и Xiaomi Redmi K20. Это может указывать на то, что каждый из смартфонов этого китайского бренда делает то же самое с пользовательскими данными.
Заявление Xiaomi в ответ на статью Forbes
«Xiaomi обеспокоена тем, что содержится в статье, опубликованной Forbes. Компания считает, что ее поняли неправильно в отношении того, что она рассказала о принципах политики конфиденциальности пользовательских данных. Безопасность и конфиденциальность наших пользователей в Интернете являются высшим приоритетом в Xiaomi. Мы убеждены что мы строго придерживаемся и соблюдаем местные законы и правила. Мы свяжемся с Forbes, чтобы объяснить это неудачное, неверное толкование».
Xiaomi частично отрицает заявление Forbes — «выводы неверны»
Forbes представил данные, собранные Кирлингом и Тирни, представителям бренда Xiaomi. В ответ на обвинения представитель китайской компании заявил, что они не соответствуют действительности. Он сообщил, что выводы проведенного анализа были ложными. Он также отрицал, что устройства Xiaomi могут анализировать действия пользователя в режиме инкогнито.
Тем не менее, представитель подтвердил, что устройство собирало данные о сетевом трафике. Он утверждал, однако, что это была полностью анонимная информация, и пользователи дали согласие на ее обработку. Эксперты утверждают обратное. Метаданные также отправлялись на серверы, которые можно легко использовать для подтверждения личности пользователя.
Оба эксперта согласились с тем, что поведение браузера Xiaomi является наиболее агрессивным процессом, который они видели в своей карьере. Данные, собранные Google Chrome или Safari от Apple, являются тривиальным вопросом. Они думают, что этот вид слежки за пользователями без явной информации о них настолько плох, насколько это возможно.