Všetko to začalo ešte pred pár dňami, keď o prešľapoch Xiaomi pri ochrane používateľských dát a súkromia informoval magazín Forbes skúsený analytik Gabi Cirlig, ktorý priniesol znepokojujúce informácie o tom, ako jeho nové Redmi Note 8 zbieralo citlivé dáta.

Okamžite sa na spoločnosť strhla vlna kritiky, no tá obvinenia popiera a snaží sa ich negovať rôznymi spôsobmi. Xiaomi tak napriek mnohým dôkazom tvrdí, že žiadne dáta na pozadí a bez súhlasu používateľov nezbiera. Aká je teda pravda?

Problémy s ochranou súkromia používateľov nie sú v dnešnom svete žiadnou novinkou. Doteraz bolo v uplynulých rokoch zaznamenaných množstvo prípadov, kedy veľkí giganti boli obvinení z narúšania súkromia ľudí tým, že zbierali ich používateľské dáta a pomocou nich analyzovali ich chovanie. Mnohokrát citlivé dáta unikli aj na verejnosť alebo sa dostali do nesprávnych rúk.

Zobraziť celú galériu (1)

Flickr (Úprava redakcie)

Pozornosť sa však v závere apríla obrátila práve na Xiaomi, ktoré má podľa analytikov zhromažďovať informácie o používateľoch prostredníctvom svojich predinštalovaných prehliadačov pre smartfóny.

Problém však siaha omnoho ďalej, ako by sa mohlo zdať. Spoločnosť sa síce bráni, že všetko je anonymizované a chránené, no podľa dôkazov zo strany analytikov je opak úplnou pravdou a na základe chabej ochrany je možné identifikovať aj konkrétnych používateľov. Poďme si teda v skratke zhrnúť, z čoho bolo Xiaomi obvinené.

Ešte predtým však dávame do pozornosti novú verziu prehliadačov Mi Browser, Mi Browser Pro a Mint Browser, ktoré v novej verzii dostali možnosť vypnúť zbieranie agregovaných dát. Pokiaľ teda spoločnosť nezbiera takéto dáta ani v inkognito móde, ako to doteraz tvrdila, prečo by vydávala takúto aktualizáciu?! Okrem toho sú však v Mint Browser štatistiky stále odosielané.

O čo sa vlastne jedná?

Nuž, podľa odhalení analytikov majú Xiaomi prehliadače zhromažďovať detailné informácie o používateľských návykoch, navštevovaných stránkach, vyhľadávaní v Google, a aj z nástrojov na ochranu súkromia, ako napríklad DuckDuckGo.

Problém sa týka aj zbierania informácii v inkognito móde. Pokiaľ si teda používateľ myslel, že ho v tomto režime nikto nemôže sledovať, príliš sa mýlil. Xiaomi totiž podľa dostupných informácií týmto spôsobom získava detailné dáta o používaní, a to všetko odosiela s biednym šifrovaním na vzdialené servery v Rusku a Singapúre, pričom domény majú registráciu v Pekingu.

Weibo / Pixabay

Takéto zhromažďovanie dát sa pritom netýka len spomínaného smartfónu Redmi Note 8, ktorý si zakúpil menovaný analytik, ale aj ďalších modelov so spomínanými prehliadačmi. Zbieranie dát bolo potvrdené napríklad aj pri smartfónoch Xiaomi Mi MIX 3, novom Xiaomi Mi 10, či Redmi K20.

Zoznam však môže byť omnoho, omnoho dlhší. Zozbierané dáta majú byť pritom šifrované, no ochrana súborov je natoľko slabá, že Cirligovi trvalo len niekoľko sekúnd, pokým sa pomocou dekódovania známeho ako base64 dostal k relevantným dátam a zistil, že pomocou nich môžu byť identifikovaní konkrétni používatelia Xiaomi smartfónov.

Zbieranie dát má navyše prebiehať aj v prípade, ak je používateľ prihlásený pomocou svojho Mi konta v smartfóne. Nejedná sa teda len o zaznamenávanie informácií o anonymných používateľoch, ktoré by Xiaomi mohlo zhodnotiť pri poskytovaní reklamy, na ktorej je mimochodom biznis model spoločnosti založený. Ide o hĺbkové zhromažďovanie dát, ktoré by sa v dnešnej dobe a po predošlých kauzách nemalo diať. Detailné informácie o celom probléme sa dozvieš v samostatnom článku.

Xiaomi sa bráni, viceprezident pre Indiu chcel používateľov ubezpečiť

Spoločnosť na svoju obranu okamžite po publikovaní článku v magazíne Forbes priniesla reakciu na svojom blogu, kde sa snaží svojich zákazníkov a používateľov smartfónov uistiť, že súkromie a ochrana dát je pre ňu prioritou. Pýši sa tým, že pri ochrane používateľov spĺňa viaceré medzinárodné štandardy ISO a TrustTe. Ani to však nemusí znamenať, že Xiaomi skutočne dáta nezbiera a chráni súkromie tak, ako by malo.

Navyše, s vlastným vyjadrením na túto tému prišiel aj Manu Jain, viceprezident a riaditeľ manažmentu Xiaomi v Indii. Ten na YouTube publikoval video s detailným vysvetlením situácie a frázami, ktoré majú opäť ubezpečiť používateľov Xiaomi smartfónov o prioritách spoločnosti a ochrane ich súkromia.

Už samotný nadpis videa však nepôsobí príliš dôveryhodným dojmom a môžeme ho vnímať aj ako protiútok na magazín Forbes, ktorý mal podľa Jaina zverejniť „nepravdivé“ informácie.

Viceprezident potvrdil, že Xiaomi nie je len predajcom smartfónov a elektroniky, ale najmä internetovou spoločnosťou, pričom jej prioritou má byť ochrana súkromia a úplná bezpečnosť internetových služieb. Ako však dobre vieme z minulosti, ani údajne bezpečné spracovanie dát nie je na 100 % bezpečné.

Manu Jain vo videu taktiež tvrdí, že dáta nie sú zbierané v inkognito móde a nie sú odosielané inde. Dáta nemajú byť bez súhlasu používateľa zhromažďované. Práve slovíčko „súhlas“ je však aj v tomto prípade veľmi dôležité.

Ako mnohí dobre vedia, takýto súhlas si môže Xiaomi vypýtať pri prvotnom zapnutí smartfónu alebo aplikácie, kde drvivá väčšina ľudí len odklikne túto možnosť, v ktorej súhlasia s podmienkami používania a ďalej sa tým nezaoberajú. Práve takýto detail však nahráva Xiaomi do kariet a umožní mu zbieranie ďalších informácií. Len si spomeň, kedy si naposledy súhlasil s podmienkami používania nejakého softvérového produktu. Vieš presne s čím si súhlasil? Zrejme nie.

Manu Jain vo videu taktiež tvrdí, že všetky používateľské dáta sú kompletne šifrované a anonymizované. Taktiež tvrdí, že Xiaomi prehliadače nikdy nevedia, čo používateľ práve prehliada v inkognito móde a neidentifikujú konkrétneho používateľa. Čo to znamená?

Prakticky tým Jain potvrdil, že síce nemusí prehliadač zbierať informácie o používateľoch v inkognito móde, hoci dôkazy nasvedčujú opaku, môže sa tak diať pri prehliadaní webových stránok v klasickom móde. Aby toho nebolo málo, všetky vyjadrenia podľa videa čítal z vopred pripraveného textu.

Ako prezentujú odhalenia odborníci a ako Xiaomi?

Teraz sa však dostávame k časti, kde si porovnáme vyjadrenia odborníkov a tvrdenia Xiaomi. Pri probléme so sledovaním navštívených stránok, prepínaní kariet v prehliadačoch spoločnosti a monitorovaní ďalšieho správania používateľa sú spôsoby využívané spoločnosťou podľa analytikov Gabiho Cirliga a Andrewa Tierneyho omnoho invazívnejšie ako v prípade prehliadačov Chrome či Safari od Apple, informuje Forbes. Otázka toho, čo všetko dokáže prehliadač od Xiaomi zbierať, bola zodpovedaná vyššie.

Xiaomi

Samotná spoločnosť však na túto časť problému reagovala vysvetlením, v ktorom uvádza, že „dáta (ako sú systémové informácie, preferencie, používanie funkcií používateľského rozhrania, schopnosť reakcie, výkon, využitie pamäte a správy o zlyhaní) sú agregované a nemôžu byť použité samostatne na identifikáciu žiadneho jednotlivca„. Ako príklad spoločnosť uviedla zaznamenanie URL adresy pri pomalom načítavaní, aby mohla zlepšiť celkový výkon prehliadania.

V prípade reklamných domén môže byť pritom počet žiadostí na sledovanie skutočne enormný. Jeden z používateľov si do Xiaomi smartfónu nainštaloval NextDNS a len v priebehu 3 dní boli zablokované stovky pokusov o odoslanie štatistík priamo do Xiaomi.

Ďalším problémom je synchronizácia používateľských dát prehliadania, ktoré majú byť synchronizované len v prípade prihlásenia používateľa do Mi konta v smartfóne alebo pri zapnutí funkcie synchronizácie v Nastaveniach.

Tu Xiaomi uvádza ako príklad rýchlejší prístup k predošlým navštevovaným webom pri výmene zariadení a aby mohol používateľ medzi nimi synchronizovať údaje. Sledovanie používateľa však má podľa zistení Cirliga prebiehať práve aj v inkognito móde a celý priebeh tohto procesu vysvetlil vo videu aj bezpečnostný analytik Andrew Tierney.

„V režime inkognito nie sú údaje prehliadania používateľov synchronizované, súhrnné údaje o štatistike používania sa však stále zhromažďujú.“ tvrdí Xiaomi na svojom blogu.

Týmto si však Xiaomi protirečí. Zverejnilo tiež screenshot kódu, ktorý má podľa vyjadrení spoločnosti náhodne generovať unikátne tokeny spojené s agregovanými dátami a nemajú identifikovať jednotlivých používateľov.

Xiaomi Blog

Podľa zistení analytika Gabiho Cirlinga však tieto dáta nie sú anonymné a používateľ môže byť identifikovaný kvôli využitiu univerzálneho unikátneho tokenu (UUID). Takéto UUID je priraďované všetkým odosielaným dátam za posledných 24 hodín, pričom sa nemení a v skutočnosti nemá byť anonymné UUID tak celkom anonymné, informuje Gizmochina. Odosielané dáta môžu byť navyše dekódované minimálne na strane klienta a majú byť odosielané do Ruska a Singapúru.

K tomuto problému sa ale Xiaomi na blogu príliš nevyjadrovalo, hoci Manu Jain používateľov ubezpečuje, že dáta nie sú odosielané do iných krajín. Dáta majú byť podľa spoločnosti šifrované pomocou TLS 1.2 (protokol na šifrovanie dát, pozn. redakcie), no pomocou spomínaného nástroja base64 je ich možné dekódovať. Navyše ide o odosielanie dát, o ktorom používateľ vôbec nemusel vedieť.

Xiaomi je len ďalším z mnohých, ktorí berú používateľom súkromie. Robí to však agresívnejšie

Podľa doterajších dostupných informácií teda Xiaomi skutočne zhromažďuje detailne dáta o používaní jeho smartfónov a prehliadaní webov používateľmi, ktorí doteraz ani len netušili, aké množstvo informácií môže zbierať aj na pohľad nevinný prehliadač spoločnosti. Tá, hoci sa bráni týmto obvineniam, stále nedokázala jednoznačne vyvrátiť získané dôkazy na videách a screenshotoch od odborníkov.

Zbieranie dát nie je u internetových prehliadačov ničím výnimočným, no Xiaomi zašlo priďaleko a tromflo aj taký Google. Aj keď je spoločnosť momentálne štvrtým najväčším producentom smartfónov na svete, jej prioritným biznisom sú stále internetové služby a reklama, z ktorej dokáže vyťažiť veľa.

Dávid Igaz / FonTech

Navyše, na smartfónoch zobrazuje množstvo reklám na mnohých miestach v systéme. Reklamy pritom podľa skúseností používateľov mnohokrát hraničia s erotickým obsahom.

Nejde o jediný prípad zhromažďovania dát, no množstvo a spôsob, aký Xiaomi využíva, je v tomto prípade zarážajúce. Aj keď vyvracia všetky tvrdenia, dôkazy hovoria proti nemu. Stále je však ešte množstvo nezodpovedaných otázok. Na mnohé z nich by však mohol priniesť odpoveď práve Manu Kumar Jain na dnešnej tlačovej konferencii, hoci sa dá predpokladať, akých typov odpovedí sa dočkáme.

Čítajte viac z kategórie: Cyber