Kolem reklamy na smartphone Xiaomi Note 10 Pro v jeho vlajkovém obchodě v Hong Kongu projíždějí cestující. . [+] Výzkumníci si myslí, že obrovský čínský byznys narušuje soukromí lidí, ale společnost jakékoli pochybení popírá.
Budrul Chukrut / SOPA Images / LightRocket prostřednictvím Getty Images
„Je to zadní vrátka s funkcemi telefonu,“ vtipkuje Gabi Cirlig o svém novém telefonu Xiaomi. Dělá si legraci jen napůl.
Cirlig mluví s Forbes poté, co zjistil, že jeho smartphone Redmi Note 8 sledoval většinu toho, co na telefonu dělal. Tato data byla poté odesílána na vzdálené servery hostované dalším čínským technologickým gigantem Alibaba, které byly údajně pronajaty Xiaomi.
Zkušený výzkumník v oblasti kybernetické bezpečnosti zjistil, že znepokojivé množství jeho chování bylo sledováno a zároveň byly shromažďovány různé druhy dat ze zařízení, takže Cirlig byl vystrašený, že jeho identita a jeho soukromý život byly odhaleny čínské společnosti.
Když se rozhlédl po webu ve výchozím prohlížeči Xiaomi zařízení, zaznamenal všechny webové stránky, které navštívil, včetně dotazů vyhledávačů, ať už pomocí Googlu nebo DuckDuckGo zaměřeného na soukromí, a každé položky zobrazené ve funkci zpravodajského kanálu softwaru Xiaomi. Zdálo se, že k tomuto sledování dochází, i když použil údajně soukromý režim „anonymní“.
Zařízení také zaznamenávalo, jaké složky otevřel a na které obrazovky přejel, včetně stavového řádku a stránky nastavení. Všechna data byla zabalena a odeslána na vzdálené servery v Singapuru a Rusku, ačkoli webové domény, které hostovaly, byly registrovány v Pekingu.
VÍCE OD FORBES ADVISOR
Nejlepší cestovní pojišťovny
Nejlepší plány cestovního pojištění Covid-19
Mezitím v Forbes “ žádost dále zkoumal výzkumník kybernetické bezpečnosti Andrew Tierney. Zjistil také, že prohlížeče dodávané Xiaomi na Google Play – Mi Browser Pro a Mint Browser – shromažďují stejná data. Dohromady mají podle statistik Google Play více než 15 milionů stažení.
Mnoho dalších milionů bude pravděpodobně ovlivněno tím, co Cirlig popsal jako vážný problém s ochranou soukromí, i když Xiaomi popřelo, že by problém byl. S hodnotou 50 miliard dolarů je Xiaomi jedním ze čtyř největších výrobců smartphonů na světě podle podílu na trhu, za společnostmi Apple, Samsung a Huawei. Velkým prodejem Xiaomi jsou levná zařízení, která mají mnoho stejných kvalit jako smartphony vyšší třídy. Ale pro zákazníky by tato nízká cena mohla přijít s vysokou cenou: jejich soukromí.
Cirlig si myslí, že problémy se týkají mnohem více modelů než toho, který testoval. Stáhl si firmware pro další telefony Xiaomi — včetně zařízení Xiaomi MI 10, Xiaomi Redmi K20 a Xiaomi Mi MIX 3. Poté potvrdil, že mají stejný kód prohlížeče, což ho vedlo k podezření, že mají stejné problémy s ochranou soukromí.
A zdá se, že existují problémy s tím, jak Xiaomi přenáší data na své servery. Ačkoli čínská společnost tvrdila, že data byla při přenosu šifrována ve snaze chránit soukromí uživatelů, Cirlig zjistil, že byl schopen rychle vidět právě to, co bylo z jeho zařízení odebíráno, dekódováním části informací, které byly skryty formou snadno prolomitelné kódování, známé jako base64. Cirligovi trvalo jen pár sekund, než změnil zkomolená data na čitelné kusy informací.
„Mým hlavním zájmem o soukromí je, že data odesílaná na jejich servery lze velmi snadno korelovat s konkrétním uživatelem,“ varoval Cirlig.
Reakce Xiaomi
V reakci na zjištění Xiaomi uvedlo: „Tvrzení výzkumu jsou nepravdivá“ a „Ochrana soukromí a bezpečnost je nejvyšším zájmem“ a dodala, že „přísně dodržuje a plně dodržuje místní zákony a předpisy týkající se ochrany osobních údajů uživatelů“. Potvrdila to ale mluvčí byl shromažďování údajů o prohlížení s tvrzením, že informace byly anonymizované, takže nebyly vázány na žádnou identitu. Řekli, že uživatelé s takovým sledováním souhlasili.
Jak však zdůraznili Cirlig a Tierney, na server nebyl odeslán pouze web nebo vyhledávání na webu. Xiaomi také shromažďovalo data o telefonu, včetně jedinečných čísel pro identifikaci konkrétního zařízení a verze Androidu. Cirlig řekl, že taková „metadata“ lze „snadno korelovat se skutečným člověkem za obrazovkou“.
Mluvčí Xiaomi také popřel, že by byla data procházení zaznamenávána v režimu inkognito. Jak Cirlig, tak Tierney však ve svých nezávislých testech zjistili, že jejich webové návyky byly odeslány na vzdálené servery bez ohledu na to, v jakém režimu byl prohlížeč nastaven, což jako důkaz poskytlo fotografie i videa.
Kdy Forbes poskytl Xiaomi video od Cirliga, které ukazuje, jak jeho vyhledávání na Googlu pro „porno“ a návštěva webu PornHub byly odeslány na vzdálené servery, a to i v režimu inkognito, mluvčí společnosti nadále popíral, že by informace byly zaznamenány. „Toto video ukazuje shromažďování anonymních dat o prohlížení, což je jedno z nejběžnějších řešení používaných internetovými společnostmi ke zlepšení celkové zkušenosti s prohlížečem prostřednictvím analýzy informací neumožňujících zjištění totožnosti,“ dodali.
Jak Cirlig, tak Tierney uvedli, že chování Xiaomi bylo invazivnější než jiné prohlížeče, jako je Google Chrome nebo Apple Safari. “Je to mnohem horší než kterýkoli z běžných prohlížečů, které jsem viděl,” řekl Tierney. „Mnoho z nich využívá analýzy, ale jde o používání a selhání. Chování prohlížeče, včetně adres URL, bez výslovného souhlasu a v režimu soukromého prohlížení je tak špatné, jak jen to může být.“
Cirlig také měl podezření, že používání jeho aplikace bylo monitorováno společností Xiaomi, protože pokaždé, když otevřel aplikaci, byla na vzdálený server odeslána část informací. Jiný výzkumník, který testoval zařízení Xiaomi, ačkoli byl pod NDA, aby o tom otevřeně diskutoval, řekl, že viděl, že telefon výrobce shromažďuje taková data. Xiaomi na otázky k tomuto problému neodpovědělo.
„Behaviorální analýza“
Zdá se, že Xiaomi má další důvod pro shromažďování dat: lépe porozumět chování svých uživatelů. Využívá služeb společnosti pro analýzu chování s názvem Sensors Analytics. Čínský startup, také známý jako Sensors Data, získal od svého založení v roce 60 2015 milionů dolarů, naposledy 44 milionů dolarů v kole vedeném newyorskou soukromou investiční společností Warburg Pincus, která také zahrnovala financování od Sequoia Capital China. Jak je popsáno v Pitchbooku, sledovači firemního financování, Sensors Analytics je „poskytovatelem platformy pro hloubkovou analýzu chování uživatelů a profesionálních konzultačních služeb“. Jeho nástroje pomáhají svým klientům „prozkoumávat skryté příběhy za indikátory při zkoumání klíčového chování různých podniků“.
Jak Cirlig, tak Tierney zjistili, že jejich aplikace Xiaomi odesílají data do domén, které zřejmě odkazují na Sensors Analytics, včetně opakovaného používání SA. Po kliknutí na jednu z domén stránka obsahovala jednu větu: „Sensors Analytics je připravena přijímat vaše data!“ Existovalo API s názvem SensorDataAPI – API (aplikační programovací rozhraní), což je software, který umožňuje třetím stranám přístup k datům aplikací. Xiaomi je také uvedeno jako zákazník na webu Sensors Data.
Zakladatel a generální ředitel společnosti Sensors Data, Sang Wenfeng, má dlouhou historii ve sledování uživatelů. V čínském internetovém gigantu Baidu vybudoval velkou datovou platformu pro uživatelské protokoly Baidu, podle životopisu jeho společnosti.
Mluvčí Xiaomi potvrdil vztah se startupem: „Zatímco Sensors Analytics poskytuje řešení pro analýzu dat pro Xiaomi, shromážděná anonymní data jsou uložena na vlastních serverech Xiaomi a nebudou sdílena se Sensors Analytics ani jinými společnostmi třetích stran.
Je to podruhé za dva měsíce, co velká čínská technologická společnost dohlíží na zvyky uživatelů při telefonování. Bezpečnostní aplikace se „soukromým“ prohlížečem vytvořená společností Cheetah Mobile, veřejnou společností kótovanou na newyorské burze cenných papírů, byla spatřena shromažďováním informací o používání webu, názvech přístupových bodů Wi-Fi a podrobnějších údajích, jako je například to, jak uživatel posouval navštívené stránky. Webové stránky. Cheetah argumentoval, že potřebuje shromažďovat informace k ochraně uživatelů a zlepšení jejich zkušeností.
Pozdě ve svém výzkumu Cirlig také zjistil, že aplikace hudebního přehrávače Xiaomi v jeho telefonu sbírala informace o jeho zvyklostech při poslechu: jaké skladby byly přehrávány a kdy.
Jedna zpráva byla pro výzkumníka jasná: když posloucháte vy, Xiaomi naslouchá také.
AKTUALIZOVAT: Xiaomi zveřejnilo blog, ve kterém popsalo, jak a kdy shromažďuje navštívené adresy URL navštívené svými uživateli. Přečtěte si to v plném znění zde.
Společnost zopakovala, že data přenášená ze zařízení a prohlížečů Xiaomi byla anonymizována a nebyla připojena k žádné identitě.
3. května Xiaomi oznámilo, že ve své další aktualizaci prohlížeče umožní zákazníkům zastavit odesílání navštívených webových stránek na servery čínské společnosti.
Prohlížeče budou obsahovat „možnost v režimu inkognito. zapnout/vypnout sběr agregovaných dat ve snaze dále posílit kontrolu, kterou uživatelům poskytujeme nad sdílením jejich vlastních dat se společností Xiaomi. Aktualizace softwaru budou odeslány na Google Play ke schválení během dnešního dne.“
„Věříme, že tato funkce v kombinaci s naším přístupem k udržování agregovaných dat v neidentifikovatelné formě přesahuje jakékoli zákonné požadavky a demonstruje závazek naší společnosti k ochraně soukromí uživatelů,“ dodal Xiaomi.
Bezpečnostní výzkumník říká, že společnost sledovala chování a sbírala data z jeho Redmi Note 8.
Carrie Mihalcik Bývalá šéfredaktorka / Zprávy
Carrie byla hlavní redaktorkou CNET zaměřenou na nejnovější a trendy zprávy. Více než deset let reportovala a editovala, mimo jiné v National Journal a Current TV.
- Carrie žila na obou pobřežích a může s konečnou platností říci, že modří krabi v Chesapeake Bay jsou nejlepší.
Laura Hautala Bývalá hlavní spisovatelka
Laura psala o elektronickém obchodování a Amazonu a příležitostně se věnovala skvělým vědeckým tématům. Dříve rozebírala problémy kybernetické bezpečnosti a soukromí pro čtenáře CNET. Laura sídlí v Tacomě ve státě Washington a před pandemií byla v zákysu.
- 2022 Eddie Award za jediný článek ve spotřebitelské technologii
Carrie Mihalčíková
Laura Hautala
1. května 2020 1:12 PT
3 min čtení
Xiaomi se brání nařčením, že shromažďuje soukromá data od lidí, kteří používají její telefony a aplikace webového prohlížeče. Vyplývá to ze čtvrteční zprávy od Forbes, která vyvolala obavy, že čínský výrobce telefonů shromažďuje soukromá data o webech, které uživatelé navštěvují, a také podrobné informace o používaných aplikacích a souborech otevřených na zařízeních.
V pátečním blogovém příspěvku Xiaomi představilo některé ze svých datových postupů a uvedlo, že shromažďuje souhrnné statistiky využití o věcech, jako je odezva a výkon, které nelze použít k identifikaci jednotlivců. Společnost také uvedla, že synchronizuje historii procházení webu, pokud mají lidé tuto funkci zapnutou v nastavení. Odmítl jakékoli pochybení a uvedl, že Forbes špatně pochopil jeho zásady a zásady ochrany osobních údajů.
„V Xiaomi je soukromí a bezpečnost našich uživatelů nejvyšší prioritou,“ uvedla společnost ve svém příspěvku. “Přísně dodržujeme a plně dodržujeme zákony a předpisy na ochranu soukromí uživatelů po celém světě.”
Ve čtvrtek Forbes citoval několik bezpečnostních výzkumníků, kteří uvedli, že společnost shromažďuje webovou historii a také telefonní údaje, jako jsou „jedinečná čísla pro identifikaci konkrétního zařízení a verze Androidu“, která by mohla být spojena s osobou používající zařízení. Kombinace dat a identifikačních čísel by mohla Xiaomi umožnit spojit všechna data, která shromažďuje, s jednotlivci, o čemž bezpečnostní výzkumník Gabi Cirlig řekl Forbesu, že je nejvíce znepokojivým aspektem jeho zjištění.
Udělat soukromí prioritou
- Nástroj Apple a Google pro sledování koronaviru: Jak do toho zapadá soukromí
- EU pracuje na pokynech k ochraně soukromí pro sledování polohy telefonu v souvislosti s COVID-19
- 8 mobilních aplikací, které chrání soukromí vašeho telefonu, protože ne, neděláte dost
Cirlig publikaci řekl, že když na svém Redmi Note 8 používal výchozí prohlížeč Xiaomi, „zaznamenal všechny stránky, které navštívil, včetně dotazů vyhledávačů“ a „každou položku zobrazenou ve funkci zpravodajského kanálu softwaru Xiaomi“. Cirlig uvedl, že k tomuto sledování podle Forbesu dochází i při procházení v anonymním nebo soukromém režimu.
Telefon také údajně zaznamenával věci, jako jsou otevřené složky a přejetí prstem po obrazovce. Cirlig řekl Forbesu, že data byla odeslána na vzdálené servery hostované čínským technologickým gigantem Alibaba, které si pronajala Xiaomi.
Jiné prohlížeče, jako je Chrome (vyrobený společností Google) a Firefox (vyrobený Mozillou), také shromažďují souhrnné uživatelské informace o navštívených stránkách. Tito výrobci prohlížečů však také nabízejí podrobné informace o tom, jak jsou data chráněna. Google říká, že Chrome shromažďuje „anonymní, náhodná data“ o používání, která nejsou spojena s identifikátory uživatelů. V roce 2017 Mozilla spustila program pro shromažďování údajů o používání od uživatelů Firefoxu, chráněný procesem nazvaným diferenciální soukromí, díky kterému je velmi obtížné zjistit, zda jsou zahrnuta data daného jednotlivce.
Telefony s operačním systémem iOS od společnosti Apple nebo operačním systémem Android od společnosti Google přicházejí s obavami o ochranu soukromí a výzkumníci se často musí ponořit hluboko do zařízení, aby zjistili, jaké druhy údajů o poloze a využití aplikací aplikace třetích stran shromažďují a odesílají inzerentům. To se ale liší od toho, že sám výrobce telefonu shromažďuje uživatelská data, která se Apple podle svých slov snaží co nejvíce omezit tím, že uživatelská data zpracovává v telefonu a nechává je tam.
Google také zpracovává data v telefonu, pokud je to možné, a obě společnosti vyvinuly různé metody ochrany soukromí pro analýzu svých souhrnných sbírek dat. Kromě toho Google vyvinul federované výukové programy, které umožňují počítačovým programům analyzovat data pomocí strojového učení na zařízeních uživatelů. Statistiky z dat jsou odstraněny z telefonu namísto samotných dat.
V reakci na otázku, zda používá rozdílnou ochranu soukromí nebo jinou ochranu uživatelských dat, Xiaomi uvedlo, že tuto technologii používá omezeným způsobem pro beta testery v Číně. „Máme plány dále rozšířit technologii na naše produkty a uživatele globálně,“ uvedla společnost ve svém prohlášení, „a budeme pokračovat ve zlepšování a zavádění ještě přísnějších opatření na ochranu soukromí, abychom zajistili internetovou bezpečnost našich uživatelů.“
