Новые информационные технологии и программное обеспечение
  RSS    


Какую информацию собирает Xiaomi от пользователей смартфонов?


xiaomi1

В интернете появились сообщения, предупреждающие пользователей смартфонов китайского мобильного гиганта Xiaomi о том, что возможно, корпорация записывает мегабайты личных данных данных пользователей электроники. 

 


Исследователь Кирлиг обнаружил, что смартфон Redmi Note 8 внимательно отслеживал операции, которые он делал на телефоне. Далее, удалось отследить отправку данных на удаленные серверы, размещенные у другого китайского технологического гиганта Alibaba, которые были якобы арендованы Xiaomi. 

 

Когда Кирлиг просматривал Интернет в фирменном браузере Xiaomi, установленном по умолчанию на устройстве, браузер аккуратно фиксировал все посещенные им сайты. Также фиксировались поисковые запросы пользователя, выполненные не только при помощи поисковой системы Google, но и с помощью поисковой системы DuckDuckGo, ориентированной на конфиденциальность данных пользователя.  Удивительно, но отслеживание, происходило даже тогда, когда пользователь включал режим «инкогнито», предполагающий скрытие данных пользователя от посторонних глаз.

 

Смартфон фиксировал, какие папки смартфона были им открыты, какая информация присутствовала на экране, включая строку состояния и страницу настроек. Все данные были затем  упакованы и отправлены на удаленные серверы в Сингапуре и России, хотя веб-домены, которые они размещали, были зарегистрированы в Пекине.

 

Другой специалист по информационной безопасности, Эндрю Тирни провел дальнейшее расследование. Он подтвердил, что браузеры, поставляемые Xiaomi в Google Play, - Mi Browser Pro и Mint Browser - собирают одни и те же данные. Согласно статистике Google Play, вместе они имеют показатель около 15 миллионов загрузок.

 

Скорее всего, миллионы людей будут удивлены тем, что Кирлиг назвал серьезной проблемой конфиденциальности, хотя Xiaomi отрицает наличие проблемы. По состоянию на 2020 год компания Xiaomi оценивается в 50 миллиардов долларов и является одним из четырех крупнейших производителей смартфонов в мире по доле рынка, уступая лишь Apple, Samsung и Huawei. Наибольший спрос у потребителей Xiaomi вызывают недорогие устройства, которые обладают многими из тех же качеств, что и более дорогие смартфоны. 

Но для клиентов такая низкая цена может и не компенсировать огромный ущерб, который может случится по причине нарушения их конфиденциальности.

 

Кирлиг считает, что проблемы затрагивают гораздо больше моделей телефонов, чем те, которые он тестировал. Он проанализировал прошивки для других телефонов Xiaomi, включая Xiaomi MI 10, Xiaomi Redmi K20 и Xiaomi Mi MIX 3. И подтвердил, что в них используется один и тот же код браузера, что заставило его подозревать  и эти телефоны в проблемах с конфиденциальностью.

 

Но это еще полбеды. В конце концов, многие сайты хранят информацию о своих пользователях. Facebook предлагает рекламу пользователям на основании запросов, сделанных пользователями ранее. Проблема в  том, как Xiaomi передает собранные данные о пользователе на свои серверы. 

Хотя китайская компания утверждала, что данные шифруются при передаче в сеть, защищая конфиденциальность пользователей, Кирлиг обнаружил, что он может достаточно быстро увидеть информацию, которая была взята с его устройства, расшифровав порцию информации, которая была спрятана в виде легко читаемого кода стандарта base64. 

 

Base64 — стандарт кодирования двоичных данных при помощи только 64 символов ASCII. Алфавит кодирования содержит текстово-цифровые латинские символы A-Z, a-z и 0-9 и 2 дополнительных символа, зависящих от системы реализации. Каждые 3 исходных байта кодируются 4 символами. 

 

Потребовалось всего несколько секунд, чтобы преобразовать, казалось бы, зашифрованные данные в читаемые фрагменты информации. 

 


xiaomi 4

 

«Моя главная забота о конфиденциальности заключается в том, что данные, отправляемые на их серверы, очень легко соотносятся с конкретным пользователем», - убежден исследователь.

 

Что ответила Xiaomi?

В ответ на выводы Xiaomi заявила: «Заявления об исследованиях не соответствуют действительности» и «Конфиденциальность и безопасность имеют первостепенное значение», добавив, что они «строго соблюдаются и полностью соответствуют местным законам и нормам в отношении вопросов конфиденциальности пользовательских данных». 

Однако представитель все-таки подтвердил, что сбор данных имел место, однако уверил, что информация собиралась в обезличенном виде, так не была привязана к какой - либо личности посредством аккаунта. Также выло высказано утверждение, что пользователи сами дали согласие на такое отслеживание при установке приложения.

 

Но, как отметили Кирлиг и Тирни, на сервер был отправлен не только веб-сайт или текст поискового запроса в Интернете. Xiaomi также собирала данные о телефоне, в том числе уникальный номер идентификации конкретного устройства (IMEI) и версию Android. Кирлиг сказал, что такие « метаданные» могут «легко соотноситься с реальным человеком».

 

Представители Xiaomi также отрицают, что имела место быть и запись информации в сессиях в режиме "инкогнито". Однако и Кирлиг, и Тирни в своих независимых тестах обнаружили, что их записи о посещаемых ресурсах отправляются на удаленные серверы независимо от того, в каком режиме работает браузер, предоставив в качестве доказательства фотографии и видео.

 

Когда Xiaomi представили видео, сделанное Кирлигом, в котором фиксировалось, как Xiaomi сначала отследил поисковый запрос "клубнички" в Google, а затем и зафиксировал  посещение сайта PornHub, причем в режиме "инкогнито", представитель компании продолжил отрицать , что информация фиксируется компанией.

 

По представителей компании, "это видео лишь демонстрирует сбор анонимных данных о просмотрах, что является одним из наиболее распространенных решений, принятых интернет-компаниями для улучшения общего опыта работы с браузером посредством анализа информации, не идентифицирующей личность" - добавили они.

 

И Кирлиг, и Тирни отметили, что поведение Xiaomi было более агрессивным, чем у производителей других браузеров, таких как Google Chrome или Apple Safari. «Это намного хуже, чем в любом из популярных браузеров, которые я видел», - сказал Тирни. «Многие из них используют аналитику, когда речь идет об использовании и сбоях. Записывать данные пользователя, включая URL-адрес, без явного согласия и в режиме частного просмотра - это плохой знак».

 

Кирлиг также подозревает, что Xiaomi следит за использованием собственных приложений, поскольку каждый раз, когда он их открывает, часть информации отправляется на удаленный сервер. 

«Поведенческая аналитика»

У Xiaomi, впрочем, есть еще одна причина для сбора данных: это механизм, с помощью которого они пытаются лучше понять поведение своих пользователей. Компания пользуется услугами аналитической компании Sensors Analytics. Китайский стартап, также известный как Sensors Data, собрал 60 миллионов долларов с момента своего основания в 2015 году, позднее получил 44 миллиона долларов от нью-йоркской частной акционерной компании Warburg Pincus, которая также финансировалась Sequoia Capital China. 

 

Как описано в Pitchbook, отслеживающем финансирование компании, Sensors Analytics является «поставщиком платформы для глубокого анализа поведения пользователей и профессиональных консультационных услуг». Ее инструменты помогают клиентам «исследовать линии поведения, скрытые за ширмой, в изучении ключевых моделей поведения различных пользователей.

 

И Кирлиг, и Тирни обнаружили, что их приложения Xiaomi отправляют данные в домены, к которым также имеет доступ и Sensors Analytics. При попытке перехода на один из них  на странице было получено сообщение: «Sensors Analytics готова получить ваши данные!». Кроме того, декларировался механизм SensorDataAPI - интерфейс, который позволяет третьим сторонам получать доступ к данным. Xiaomi также указан в качестве клиента на  веб-сайте Sensors Data.

 

Основатель и генеральный директор Sensors Data, Санг Вэньфэн, имеет долгую историю работы с данными пользователей. В китайском интернет-гиганте Baidu, согласно данным о его деятельности в компании, он создал большую платформу данных пользовательских журналов Baidu. 

Представитель Xiaomi подтвердил связь со стартапом: «Хотя Sensors Analytics предоставляет для Xiaomi решение для анализа данных, собранные анонимные данные хранятся на собственных серверах Xiaomi и не передаются Sensors Analytics или любым другим сторонним компаниям».

 

Это второй случай за последние месяцы, когда огромная китайская техническая компания наблюдает за своими пользователями. Сбор информации о навигации в интернете, имена точек доступа Wi-Fi - все это, как утверждается - нужно для для защиты пользователей и понимания, что требуется клиенту.

Также в своем исследовании Керлиг отметил, что музыкальный плеер Xiaomi на его телефоне собирал также собирал информацию о его музыкальных пристрастиях: фиксировались какие песни проигрывались и когда.

 

Xiaomi выпустила специальное сообщение, посвященное проблеме, охарактеризовав ее как искажающее факты: "Для Xiaomi конфиденциальность и безопасность наших пользователей имеет первостепенное значение. Мы строго соблюдаем и полностью соблюдаем законы и правила о защите конфиденциальности пользователей в странах и регионах, в которых мы работаем. В свете искажений мы хотели бы уточнить следующее:

 

1. На всех мировых рынках, где Xiaomi официально представлена, для обеспечения наилучшего пользовательского опыта и повышения совместимости между операционной системой и различными приложениями, а также для принятия обязательств по защите конфиденциальности пользователей - собираются пользовательские данные. Все собранные данные об использовании основаны на пользовательских соглашениях, которые даются нашими пользователями при установке наших приложений. Кроме того, мы гарантируем, что весь процесс является анонимным и зашифрованным. Сбор агрегированных данных статистики использования используется для внутреннего анализа, и мы не связываем какую-либо личную информацию с какими-либо из этих данных. Кроме того, компания отмечает, что это типовое решение, используемое интернет-компаниями по всему миру для улучшения общего опыта пользователей различных продуктов при сохранении конфиденциальности пользователей и безопасности данных.

2. Xiaomi размещает информацию об общедоступной облачной инфраструктуре, которая широко распространена и хорошо известна в отрасли. Вся информация от наших зарубежных служб и пользователей хранится на серверах на различных зарубежных рынках, где строго соблюдаются законы и положения о защите конфиденциальности местных пользователей, и которые мы полностью соблюдаем.

3. Для Xiaomi безопасность и  конфиденциальность пользователей являются основным принципом и основой нашей повседневной работы. Наши продукты, технологии  и меры по защите конфиденциальности пользователей постоянно совершенствуются. В последнем релизе нашей операционной системы, MIUI 12, мы приняли самые строгие и прозрачные меры защиты конфиденциальности на сегодняшний день. Для повышения прозрачности мы приветствуем исследования и обсуждения со стороны общественности, чтобы иметь возможность постоянно улучшать наши продукты и услуги для наших любимых пользователей.

Поделиться:

 

 

Оставьте свой комментарий!

Добавить комментарий


 

Самое читаемое:

Быстрый поиск

Подписаться в соцсетях

вКонтакте · Twitter · Facebook · Telegram

Инструкции к программам

Инструкции к программам

2020 Новые информационные технологии