Smartfóny od Xiaomi patria momentálne medzi najpredávanejšie kúsky na svete, pričom čínsky gigant sa len nedávno stal tretím najväčším výrobcom smartfónov na svete. Nová exkluzívna správa bezpečnostného analytika z Forbesu však prináša alarmujúce zistenia. Spoločnosť totiž údajne zbiera údaje o správaní ľudí.

Slováci odhalili kritickú chybu: Známy softvér svetovej cloudovej firmy sa dal ľahko hacknúť

Nočné videnie pomocou smartfónov? Pre niektoré Androidy existuje unikátna aplikácia

Toto pozadie spôsobí pád Androidu. Systém nejde ani reštartovať

Zbiera množstvo informácií

Skúsený bezpečnostný analytik Gabi Cirlig sa najnovšie podelil s Forbesom o znepokojujúce zistenia, na ktoré prišiel počas používania svojho Xiaomi Redmi Note 8. Podľa uverejnenej správy totiž jeho smartfón sledoval veľkú časť toho, čo na ňom robil. Tieto údaje boli potom odosielané na vzdialené servery hostené čínskym gigantom Alibaba, ktoré si Xiaomi údajne prenajíma.

Cirlig počas používania smartfónu zistil, že predvolený prehliadač Xiaomi zaznamenáva všetky navštívené webové stránky, vrátane vyhľadávacích dopytov z nástrojov, ktoré sú zamerané na ochranu súkromia, ako napríklad DuckDuckGo, pričom sledovanie sa malo diať dokonca aj v režime inkognito.

Podľa zistení expertov z Forbesu tieto údaje zhromažďujú dokonca aj prehliadače Mi Browser Pro a Mint Browser, ktoré Xiaomi ponúka na Google Play a dokopy majú viac než 15 miliónov stiahnutí.

Údaje nie sú anonymizované

Problémový Redmi Note 8 tiež zaznamenával priečinky, ktoré používateľ otvoril a časti systému, na ktoré prešiel vrátane stavového riadku či nastavení. Zhromažďované boli dokonca aj identifikačné údaje smartfónu a konkrétna verzia operačného systému. V neposlednom rade analytik počas používania smartfónu zistil, že aplikácia na prehrávanie hudby zhromažďovala informácie o jeho návykoch pri počúvaní.

Všetky tieto údaje boli neskôr odosielané na vzdialené servery v Singapúre a Rusku, pričom ich hosťovské domény, boli zaregistrované v Pekingu.

Cirlig si myslí, že toto správanie je prítomné na viacerých modeloch výrobcu. Po stiahnutí firmvéru pre iné zariadenia od Xiaomi vrátane nového Mi 10, Redmi K20 či Mi MIX 3 totiž zistil, že obsahujú rovnaký kód prehliadača.

Problémy vidí aj v spôsobe, ako Xiaomi prenáša tieto údaje na svoje servery. Analytik totiž zistil, že časť informácií bola zakrytá jednoduchým kódovaním známym ako base64 a trvalo mu preto iba pár sekúnd, kým zmenil skomolené informácie na čitateľné kúsky údajov.

Xiaomi tvrdenia popiera

Xiaomi v reakcii na tieto zistenia potvrdilo, že údaje z prehliadania používateľov zhromažďuje, avšak tvrdí, že tieto informácie sú anonymizované a nie sú spojené s akoukoľvek identitou majiteľa smartfónu. Hovorca spoločnosti pre Forbes dokonca uviedol, že používatelia s takýmto sledovaním súhlasili.

Podľa vyššie uvedených zistení však čínsky gigant nezaznamenáva len navštevované webové stránky, ale aj spomínané identifikačné údaje smartfónu, ktoré by mohli podľa Cirliga ľahko korelovať so skutočnou identitou majiteľa zariadenia.

Xiaomi tiež poprelo, že údaje z prehliadania zhromažďuje aj v režime inkognito. Analytici však počas testov toto tvrdenie vyvrátili, pričom ako dôkaz poskytli aj video z používania.

Znepokojujúce tiež je, že zhromažďované údaje spoločnosť podľa bezpečnostných expertov odosielala aj čínskemu startupu Sensors Analytics, ktorý sa špecializuje na hĺbkovú analýzu dát zo správania používateľov.

Na webových stránkach spoločnosti dokonca figuruje čínsky gigant aj ako zákazník. Hovorca Xiaomi spoluprácu so Sensors Analytics potvrdil, avšak uviedol, že spoločnosť tieto údaje žiadnej firme neodosielala.