Forbes: смартфоны Xiaomi собирают подробные данные об использовании
Включая историю посещений веб-сайтов и запуска приложений, а также уникальные идентификаторы устройства.
Сотрудник компании по исследованию кибербезопасности White Ops Габи Кирлиг обнаружил, что его Redmi Note 8 собирает данные об использовании смартфона и отправляет их на удалённые серверы.
Кирлиг зафиксировал сбор истории посещённых сайтов, просмотренных элементов во встроенной в оболочку MIUI новостной ленте, списка открытых папок и экранов, включая страницы настроек смартфона, информации о прослушанных треках через музыкальный плеер Xiaomi, а также уникальных номеров для идентификации конкретного устройства и версии Android.
Эти метаданные можно легко соотнести с реальным человеком за экраном, — Габи Кирлиг
Данные о истории веб-активности фиксируются независимо от установленного в браузере режиме приватности: не помогает остановить сбор даже использование режима инкогнито. Не связан объём получаемой информации и с устройством: специалист обнаружил улики в коде прошивок Xiaomi Mi 10, Redmi K20 и Xiaomi Mi MIX 3.
Вся эта информация отправляется на сервера в Сингапуре и России, при этом шифруется легко взламываемым стандартом base64: Кирлигу понадобилось «всего несколько секунд», чтобы преобразовать данные в читаемый вид.
Исследователь кибербезопасности Эндрю Тирни по просьбе Forbes выяснил, что аналогичные данные собирают Mint Browser и Mi Browser Pro — приложения, распространяемые через Google Play и насчитывающие более 15 млн установок.
Оба специалиста считают, что поведение продуктов Xiaomi намного агрессивнее, чем сбор анонимных данных в Google Chrome и Apple Safari.
Обновление (19:38): компания выпустила официальный комментарий по поводу статьи Forbes.
В материале имеет место неверное понимание нашей позиции, связанной с принципами безопасности и защиты личных данных. Защищенность данных наших пользователей и безопасность использования интернета входят в число основных приоритетов для Xiaomi. Мы убеждены в том, что строго соблюдаем и выполняем все требования местных законов и правил.
Представитель Xiaomi в ответ на запрос Forbes заявил, что конфиденциальность для компании имеет первостепенное значение и сбор данных анонимизирован. Пользователи дают согласие на подобное отслеживание.