Разделы

Безопасность Пользователю Стратегия безопасности Техника Мобильность

Xiaomi следит за пользователями и отправляет данные в Россию

Эксперты обнаружили весьма инвазивное поведение браузеров Mi и Mint, поставляемых с мобильными устройствами Xiaomi. Они собирают достаточно данных, чтобы идентифицировать личность пользователя, едва шифруют эти данные и отправляют их на серверы, располагающиеся в Сингапуре и России, говорят исследователи. В Xiaomi почти всё отрицают.

Вы так говорите, будто это что-то плохое

Браузеры, поставляемые вместе со смартфонами Xiaomi, собирают и отправляют на удалённые серверы избыточное количество информации о пользователе и его устройстве, выяснили эксперты по информационной безопасности.

Поведение браузеров Mi Browser Pro и Mint Browser настолько инвазивно, что один из исследователей назвал устройства Xiaomi «бэкдорами с функцией телефона», и это лишь отчасти является шуткой. Xiaomi заявляет, что никакой проблемы не существует.

Эксперт по имени Габи Сёрлиг (Gabi Cirlig) обнаружил, что браузер сохраняет список всех веб-сайтов, которые он посетил; всех запросов к поисковикам - Google И DuckDuckGo, а также всех новостей, прочитанных с помощью встроенных инструментов Xiaomi. Отслеживание действий пользователя осуществляется вне зависимости от того, включён в браузере режим инкогнито или нет.

Мало того, устройство запоминает информацию о том, какие папки на запоминающем устройстве пользователь открывал и на какие экраны переходил.

Эти данные пересылаются на серверы, физически расположенные в Сингапуре и в России, хотя официально они зарегистрированы в Пекине, где располагается штаб-квартира корпорации.

xiaomi2600.jpg
Смартфоны Xiaomi собирают достаточно данных, чтобы идентифицировать личность пользователя, и отправляют их на серверы в Сингапуре и России

Как выяснил Сёрлиг, все эти данные шифруются лишь очень слабым алгоритмом base64. При желании не составит никакого труда расшифровать их: у Сёрлига ушло несколько секунд, чтобы привести данные в человекочитаемый вид.

По словам исследователя, главной проблемой в данном случае является возможность проассоциировать собранные данные с конкретными пользователями. Ни о какой приватности и анонимизации речи идти не может.

Всё это совсем не правда

Выводы Сёрлига подтверждают и другие эксперты по безопасности. И несмотря на то, что сбор сведений и возможность их дешифровки были задокументированы, представители Xiaomi отрицают какое-либо нарушение приватности своих клиентов, утверждают, что все данные анонимизированы, а все выводы экспертов не соответствуют действительности.

Сам факт сбора данных из браузера в Xiaomi, однако, признали.

По данным Forbes, избыточный сбор данных, скорее всего, осуществляется в том числе для исследования поведения пользователей: Xiaomi пользуется услугами китайской компании Sensors Analytics. Она известна прежде всего платформой поведенческой аналитики, которая помогает клиентам компании «исследовать сюжеты, скрытые за индикаторами ключевых паттернов поведения различных бизнесов». Сёрлиг и его коллега Эндрю Тайрни (Andrew Tierney) выяснили, что данные из браузеров Xiaomi направляются на домены, так или иначе связанные с Sensors Analytics - прямо или косвенно.

Однако представители Xiaomi отрицают, что данные, собранные с браузеров, передаются в Sensors Analytics или в любую другую стороннюю компанию.

3 мая 2020 г., впрочем, Xiaomi объявила, что со следующим обновлениям пользователям браузеров будет предоставлена возможность полностью отключать сбор и пересылку данных о посещении веб-страниц.

«Поскольку устройства Xiaomi весьма дёшевы по сравнению со смартфонами других производителей с аналогичными характеристиками, их популярность стабильно высока; при этом за разницу в цене пользователям приходится иной раз расплачиваться компрометацией своих личных данных, - говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Пока самый очевидный выход - не использовать собственные браузеры Xioami. Альтернатив, в том числе, снабжённых средствами анонимизации трафика, к счастью, предостаточно».

Роман Георгиев