Xiaomi a zbieranie citlivých dát ľudí: Firma reaguje úboho, odborníci sú z výsledkov zhrození
Všetko to začalo ešte pred pár dňami, keď o prešľapoch Xiaomi pri ochrane používateľských dát a súkromia informoval magazín Forbes skúsený analytik Gabi Cirlig, ktorý priniesol znepokojujúce informácie o tom, ako jeho nové Redmi Note 8 zbieralo citlivé dáta.
Okamžite sa na spoločnosť strhla vlna kritiky, no tá obvinenia popiera a snaží sa ich negovať rôznymi spôsobmi. Xiaomi tak napriek mnohým dôkazom tvrdí, že žiadne dáta na pozadí a bez súhlasu používateľov nezbiera. Aká je teda pravda?
Problémy s ochranou súkromia používateľov nie sú v dnešnom svete žiadnou novinkou. Doteraz bolo v uplynulých rokoch zaznamenaných množstvo prípadov, kedy veľkí giganti boli obvinení z narúšania súkromia ľudí tým, že zbierali ich používateľské dáta a pomocou nich analyzovali ich chovanie. Mnohokrát citlivé dáta unikli aj na verejnosť alebo sa dostali do nesprávnych rúk.
Pozornosť sa však v závere apríla obrátila práve na Xiaomi, ktoré má podľa analytikov zhromažďovať informácie o používateľoch prostredníctvom svojich predinštalovaných prehliadačov pre smartfóny.
Problém však siaha omnoho ďalej, ako by sa mohlo zdať. Spoločnosť sa síce bráni, že všetko je anonymizované a chránené, no podľa dôkazov zo strany analytikov je opak úplnou pravdou a na základe chabej ochrany je možné identifikovať aj konkrétnych používateľov. Poďme si teda v skratke zhrnúť, z čoho bolo Xiaomi obvinené.
Ešte predtým však dávame do pozornosti novú verziu prehliadačov Mi Browser, Mi Browser Pro a Mint Browser, ktoré v novej verzii dostali možnosť vypnúť zbieranie agregovaných dát. Pokiaľ teda spoločnosť nezbiera takéto dáta ani v inkognito móde, ako to doteraz tvrdila, prečo by vydávala takúto aktualizáciu?! Okrem toho sú však v Mint Browser štatistiky stále odosielané.
O čo sa vlastne jedná?
Nuž, podľa odhalení analytikov majú Xiaomi prehliadače zhromažďovať detailné informácie o používateľských návykoch, navštevovaných stránkach, vyhľadávaní v Google, a aj z nástrojov na ochranu súkromia, ako napríklad DuckDuckGo.
Problém sa týka aj zbierania informácii v inkognito móde. Pokiaľ si teda používateľ myslel, že ho v tomto režime nikto nemôže sledovať, príliš sa mýlil. Xiaomi totiž podľa dostupných informácií týmto spôsobom získava detailné dáta o používaní, a to všetko odosiela s biednym šifrovaním na vzdialené servery v Rusku a Singapúre, pričom domény majú registráciu v Pekingu.
Takéto zhromažďovanie dát sa pritom netýka len spomínaného smartfónu Redmi Note 8, ktorý si zakúpil menovaný analytik, ale aj ďalších modelov so spomínanými prehliadačmi. Zbieranie dát bolo potvrdené napríklad aj pri smartfónoch Xiaomi Mi MIX 3, novom Xiaomi Mi 10, či Redmi K20.
Zoznam však môže byť omnoho, omnoho dlhší. Zozbierané dáta majú byť pritom šifrované, no ochrana súborov je natoľko slabá, že Cirligovi trvalo len niekoľko sekúnd, pokým sa pomocou dekódovania známeho ako base64 dostal k relevantným dátam a zistil, že pomocou nich môžu byť identifikovaní konkrétni používatelia Xiaomi smartfónov.
Zbieranie dát má navyše prebiehať aj v prípade, ak je používateľ prihlásený pomocou svojho Mi konta v smartfóne. Nejedná sa teda len o zaznamenávanie informácií o anonymných používateľoch, ktoré by Xiaomi mohlo zhodnotiť pri poskytovaní reklamy, na ktorej je mimochodom biznis model spoločnosti založený. Ide o hĺbkové zhromažďovanie dát, ktoré by sa v dnešnej dobe a po predošlých kauzách nemalo diať. Detailné informácie o celom probléme sa dozvieš v samostatnom článku.
Xiaomi sa bráni, viceprezident pre Indiu chcel používateľov ubezpečiť
Spoločnosť na svoju obranu okamžite po publikovaní článku v magazíne Forbes priniesla reakciu na svojom blogu, kde sa snaží svojich zákazníkov a používateľov smartfónov uistiť, že súkromie a ochrana dát je pre ňu prioritou. Pýši sa tým, že pri ochrane používateľov spĺňa viaceré medzinárodné štandardy ISO a TrustTe. Ani to však nemusí znamenať, že Xiaomi skutočne dáta nezbiera a chráni súkromie tak, ako by malo.
Navyše, s vlastným vyjadrením na túto tému prišiel aj Manu Jain, viceprezident a riaditeľ manažmentu Xiaomi v Indii. Ten na YouTube publikoval video s detailným vysvetlením situácie a frázami, ktoré majú opäť ubezpečiť používateľov Xiaomi smartfónov o prioritách spoločnosti a ochrane ich súkromia.
Už samotný nadpis videa však nepôsobí príliš dôveryhodným dojmom a môžeme ho vnímať aj ako protiútok na magazín Forbes, ktorý mal podľa Jaina zverejniť „nepravdivé“ informácie.
Viceprezident potvrdil, že Xiaomi nie je len predajcom smartfónov a elektroniky, ale najmä internetovou spoločnosťou, pričom jej prioritou má byť ochrana súkromia a úplná bezpečnosť internetových služieb. Ako však dobre vieme z minulosti, ani údajne bezpečné spracovanie dát nie je na 100 % bezpečné.
Manu Jain vo videu taktiež tvrdí, že dáta nie sú zbierané v inkognito móde a nie sú odosielané inde. Dáta nemajú byť bez súhlasu používateľa zhromažďované. Práve slovíčko „súhlas“ je však aj v tomto prípade veľmi dôležité.
Ako mnohí dobre vedia, takýto súhlas si môže Xiaomi vypýtať pri prvotnom zapnutí smartfónu alebo aplikácie, kde drvivá väčšina ľudí len odklikne túto možnosť, v ktorej súhlasia s podmienkami používania a ďalej sa tým nezaoberajú. Práve takýto detail však nahráva Xiaomi do kariet a umožní mu zbieranie ďalších informácií. Len si spomeň, kedy si naposledy súhlasil s podmienkami používania nejakého softvérového produktu. Vieš presne s čím si súhlasil? Zrejme nie.
Manu Jain vo videu taktiež tvrdí, že všetky používateľské dáta sú kompletne šifrované a anonymizované. Taktiež tvrdí, že Xiaomi prehliadače nikdy nevedia, čo používateľ práve prehliada v inkognito móde a neidentifikujú konkrétneho používateľa. Čo to znamená?
Prakticky tým Jain potvrdil, že síce nemusí prehliadač zbierať informácie o používateľoch v inkognito móde, hoci dôkazy nasvedčujú opaku, môže sa tak diať pri prehliadaní webových stránok v klasickom móde. Aby toho nebolo málo, všetky vyjadrenia podľa videa čítal z vopred pripraveného textu.
Ako prezentujú odhalenia odborníci a ako Xiaomi?
Teraz sa však dostávame k časti, kde si porovnáme vyjadrenia odborníkov a tvrdenia Xiaomi. Pri probléme so sledovaním navštívených stránok, prepínaní kariet v prehliadačoch spoločnosti a monitorovaní ďalšieho správania používateľa sú spôsoby využívané spoločnosťou podľa analytikov Gabiho Cirliga a Andrewa Tierneyho omnoho invazívnejšie ako v prípade prehliadačov Chrome či Safari od Apple, informuje Forbes. Otázka toho, čo všetko dokáže prehliadač od Xiaomi zbierať, bola zodpovedaná vyššie.
Samotná spoločnosť však na túto časť problému reagovala vysvetlením, v ktorom uvádza, že „dáta (ako sú systémové informácie, preferencie, používanie funkcií používateľského rozhrania, schopnosť reakcie, výkon, využitie pamäte a správy o zlyhaní) sú agregované a nemôžu byť použité samostatne na identifikáciu žiadneho jednotlivca„. Ako príklad spoločnosť uviedla zaznamenanie URL adresy pri pomalom načítavaní, aby mohla zlepšiť celkový výkon prehliadania.
V prípade reklamných domén môže byť pritom počet žiadostí na sledovanie skutočne enormný. Jeden z používateľov si do Xiaomi smartfónu nainštaloval NextDNS a len v priebehu 3 dní boli zablokované stovky pokusov o odoslanie štatistík priamo do Xiaomi.
I recently installed @nextdnsio on my xiaomi. The screenshot shows the number of requests blocked in 3 days, mostly Xiaomi ad tracking domains pic.twitter.com/tObNUsuDe9
— Antoine Vastel (@xopek59) May 1, 2020
Ďalším problémom je synchronizácia používateľských dát prehliadania, ktoré majú byť synchronizované len v prípade prihlásenia používateľa do Mi konta v smartfóne alebo pri zapnutí funkcie synchronizácie v Nastaveniach.
Tu Xiaomi uvádza ako príklad rýchlejší prístup k predošlým navštevovaným webom pri výmene zariadení a aby mohol používateľ medzi nimi synchronizovať údaje. Sledovanie používateľa však má podľa zistení Cirliga prebiehať práve aj v inkognito móde a celý priebeh tohto procesu vysvetlil vo videu aj bezpečnostný analytik Andrew Tierney.
„V režime inkognito nie sú údaje prehliadania používateľov synchronizované, súhrnné údaje o štatistike používania sa však stále zhromažďujú.“ tvrdí Xiaomi na svojom blogu.
Týmto si však Xiaomi protirečí. Zverejnilo tiež screenshot kódu, ktorý má podľa vyjadrení spoločnosti náhodne generovať unikátne tokeny spojené s agregovanými dátami a nemajú identifikovať jednotlivých používateľov.
Podľa zistení analytika Gabiho Cirlinga však tieto dáta nie sú anonymné a používateľ môže byť identifikovaný kvôli využitiu univerzálneho unikátneho tokenu (UUID). Takéto UUID je priraďované všetkým odosielaným dátam za posledných 24 hodín, pričom sa nemení a v skutočnosti nemá byť anonymné UUID tak celkom anonymné, informuje Gizmochina. Odosielané dáta môžu byť navyše dekódované minimálne na strane klienta a majú byť odosielané do Ruska a Singapúru.
Oh good, it's TLS 1.2. At least some random can't intercept it.
I don't think this was ever disputed. This is transport encryption to servers, sending data I did not consent to send. pic.twitter.com/sENH5OhEzN
— Cybergibbons (@cybergibbons) May 1, 2020
K tomuto problému sa ale Xiaomi na blogu príliš nevyjadrovalo, hoci Manu Jain používateľov ubezpečuje, že dáta nie sú odosielané do iných krajín. Dáta majú byť podľa spoločnosti šifrované pomocou TLS 1.2 (protokol na šifrovanie dát, pozn. redakcie), no pomocou spomínaného nástroja base64 je ich možné dekódovať. Navyše ide o odosielanie dát, o ktorom používateľ vôbec nemusel vedieť.
Xiaomi je len ďalším z mnohých, ktorí berú používateľom súkromie. Robí to však agresívnejšie
Podľa doterajších dostupných informácií teda Xiaomi skutočne zhromažďuje detailne dáta o používaní jeho smartfónov a prehliadaní webov používateľmi, ktorí doteraz ani len netušili, aké množstvo informácií môže zbierať aj na pohľad nevinný prehliadač spoločnosti. Tá, hoci sa bráni týmto obvineniam, stále nedokázala jednoznačne vyvrátiť získané dôkazy na videách a screenshotoch od odborníkov.
Zbieranie dát nie je u internetových prehliadačov ničím výnimočným, no Xiaomi zašlo priďaleko a tromflo aj taký Google. Aj keď je spoločnosť momentálne štvrtým najväčším producentom smartfónov na svete, jej prioritným biznisom sú stále internetové služby a reklama, z ktorej dokáže vyťažiť veľa.
Navyše, na smartfónoch zobrazuje množstvo reklám na mnohých miestach v systéme. Reklamy pritom podľa skúseností používateľov mnohokrát hraničia s erotickým obsahom.
Nejde o jediný prípad zhromažďovania dát, no množstvo a spôsob, aký Xiaomi využíva, je v tomto prípade zarážajúce. Aj keď vyvracia všetky tvrdenia, dôkazy hovoria proti nemu. Stále je však ešte množstvo nezodpovedaných otázok. Na mnohé z nich by však mohol priniesť odpoveď práve Manu Kumar Jain na dnešnej tlačovej konferencii, hoci sa dá predpokladať, akých typov odpovedí sa dočkáme.
Čítajte viac z kategórie: Cyber
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Samsung predstavil najvyspelejšie mobily sveta. Výkonom ťa dostanú, ale čo tá cena?
Slováci túto značku nepochopiteľne prehliadajú. Predstavila 2 nadupané smartfóny za smiešne ceny
Apple sa uchýli k historickému kroku. Nový iPhone vraj dostane novinku, ktorú Androidy majú už roky
Kvôli EÚ nedostaneš nové funkcie iPhonu. Slovákov čakajú veľké obmedzenia, dôvod ťa prekvapí
AKTUÁLNE: Veľká zmena v USA. Ak im nedáš sociálne siete, nepustia ťa do krajiny
NAJČÍTANEJŠIE ZO STARTITUP
Pokuta až 300 eur za jednu hubu: Lov na dubáky ťa môže vyjsť drahšie než luxusná večera
Hromadná nehoda šiestich áut paralyzovala dopravu. Zasahujú všetky záchranné zložky
Headlineri Pohody nevystúpia, organizátori už majú náhradu. Poznáme jej meno
Masívny útok Ruska: Západ Ukrajiny zasiahlo cez 700 dronov. Poľsko nasadilo stíhačky
Bistro z Liptova zaujalo aj prestížneho sprievodcu. „Ľudia si myslia, že našu pizzu robí Talian,“ hovorí Boris Vlha
- 24 hod
- 48 hod
- 7 dní
-
- V Európe sa vylodili tisícky čínskych elektromobilov. Doviezla ich obrovská loď so šokujúcim pohonom a výkonom
- Lietadlá súdneho dňa majú len dve krajiny. Rusko ich rozkráda, v USA chátrajú
- Slovensko čaká najväčšia dopravná novela za roky. Nový zákon udrie na cestných pirátov aj e-kolobežky (PREHĽAD)
- Nový Predátor aj vojnový veľkofilm. Toto sú najlepšie akčné filmy súčasnosti na Netflixe a ďalších
- Hyundai a Kia spustili masívne zľavy po celom svete. Autá zlacneli aj o desaťtisíce eur
-
- V Európe sa vylodili tisícky čínskych elektromobilov. Doviezla ich obrovská loď so šokujúcim pohonom a výkonom
- Západ nič také nemá. „Spojenec“ Ruska nasadí laser na stíhačky budúcnosti, rakety po ňom „slepnú“
- Slovensko čaká najväčšia dopravná novela za roky. Nový zákon udrie na cestných pirátov aj e-kolobežky (PREHĽAD)
- Hyundai a Kia spustili masívne zľavy po celom svete. Autá zlacneli aj o desaťtisíce eur
- Rusi zúfalo zháňajú peniaze. Ázijskému štátu ponúkajú svoje najmodernejšie zbrane, má to háčik
-
- Rusi ani netušili, čo im zlikvidovalo najdrahší systém. Ukrajina použila zbraň, akú svet ešte nevidel
- V Európe sa vylodili tisícky čínskych elektromobilov. Doviezla ich obrovská loď so šokujúcim pohonom a výkonom
- Západ nič také nemá. „Spojenec“ Ruska nasadí laser na stíhačky budúcnosti, rakety po ňom „slepnú“
- Rusi zúfalo zháňajú peniaze. Ázijskému štátu ponúkajú svoje najmodernejšie zbrane, má to háčik
- Slovensko čaká najväčšia dopravná novela za roky. Nový zákon udrie na cestných pirátov aj e-kolobežky (PREHĽAD)
Zúfalstvo v ruskej armáde: Do boja posielajú zaprášené tanky, ktoré si pamätajú Brežneva
Európska krajina investovala do ekologických riešení 41 miliárd eur, obeť štátnych dotácií padla
Kritické suroviny pre high-tech odvetia narazili na vážny problém. Môže zaň Čína, bude horšie
Slováci prepadli pri výbere auta novému trendu. Čísla hovoria za všetko, pozor však na riziká
AI pretransformuje spoločnosť, tvrdí odborník. Varuje pred kľúčovou chybou, ktorú robíme
NAJČÍTANEJŠIE ZO STARTITUP