Специалист по безопасности Габриэль Кирлиг (Gabriel Cirlig) обвинил китайскую компанию Xiaomi в создании «бэкдора со смартфонной функциональностью». Об этом говорится в публикации издания Forbes и отмечается, что серьёзная проблема безопасности касается «многих миллионов».
Кирлиг обнаружил, что его новенький смартфон Redmi Note 8 собирает слишком много информации о действиях пользователя на смартфоне. Эти данные отправляются на удалённые сервера, принадлежащие Xiaomi, но размещённые у другого китайского гиганта, Alibaba.
Кирлиг всерьёз обеспокоился такой слежкой со стороны китайской компании. Он отметил, что браузер Xiaomi, установленный по умолчанию, записывает все посещённые сайты, включая поисковые запросы и просмотренные статьи в новостной ленте. Запись данных ведётся даже при активированном режиме «инкогнито».
Также устройство записывает, какие папки открываются пользователем, какие экраны переключаются, включая строку состояния и страницу настроек. Все данные отправляются на удалённые сервера в Сингапуре и России, хотя их домены зарегистрированы в Пекине.
Кирлиг читает, что проблема касается не только Redmi Note 8, но и многих других моделей. Он загрузил прошивки для других смартфонов Xiaomi, включая Xiaomi Mi 10, Redmi K20 и Mi Mix 3, и обнаружил тот же браузерный код.
Специалист по кибербезопасности Эндрю Тирни (Andrew Tierney) провёл по запросу Forbes дальнейшее расследование проблемы конфиденциальности на смартфонах Xiaomi.
В целом, он подтвердил выводы Кирлиа. Тирни также обнаружил, что фирменные браузеры Xiaomi Mi Browser Pro и Mint Browser, доступные в Google Play, собирают такие же данные пользователей. Согласно статистике Google Play, у приложений более 15 миллионов загрузок.
Издание сумело получить комментарий Xiaomi. Ответ таков: «Обвинения в исследовании ложны». Также компания отметила, что конфиденциальность и безопасность находятся среди её наивысших приоритетов. Xiaomi подчеркнула, что она «строго следует и полностью исполняет местные законы и нормы в области конфиденциальности данных пользователей».
Однако представитель Xiaomi подтвердил, что раньше данные просмотров браузера собирались, но информация представлялась в анонимном виде и пользователи не могли быть определены. Также утверждается, что пользователи давали согласие на такое отслеживание.
Тем не менее Forbes подчёркивает, что Кирлиг и Тирни обнаружили слежку не только в браузере. Xiaomi также собирает данные о смартфоне, включая уникальные номера, по которым можно определить устройство и версию Android. По словам Кирлига, такую информацию можно легко соотнести с конкретным человеком.
Xiaomi отрицает и сбор данных браузера в режиме «инкогнито». Тем не менее Кирлиг и Тирни обнаружили такую слежку в независимых тестах, предоставив в доказательство фото и видео. Представителю Xiaom показали видео с записью, как Кирлиг ищет порно в Google и посещает PornHub в приватном режиме, а данные об этом отправляются на сервера. На это представитель заявил:
Данное видео показывает сбор анонимных данных о просмотре, что является одним из самых широко используемых решений среди интернет-компаний для улучшения общих параметров браузерных продуктов с помощью анализа не идентифицируемой персонально информации».
Кирлиг и Тирни же отмечают, что Xiaomi действует более «агрессивно» по сравнению с браузерами Google Chrome и Apple Safari.