Smartfóny Xiaomi majú širokospektrálne špehovať užívateľov

Nie je to tak dávno čo sa mediálnym priestorom prevalili správy o tom, že Huawei, druhý najväčší výrobca mobilov na svete, špehoval používateľov svojich zariadení. Takto získané informácie následne posielal čínskej vláde. Dnes máme podobné podozrenia znovu. DOPLNENÉ (na konci článku)

Najnovšie informácie ukazujú, že podobne praktiky používa ani ďalší čínsky technologický gigant, štvrtý najväčší výrobca samrtfónov na svete, spoločnosť Xiaomi.

S týmito tvrdeniami prišiel magazín Forbes, na ktorého sa obrátil Gabriel Cirling, výskumník v oblasti kybernetickej bezpečnosti. Ten zistil, že jeho smartfón Xiaomi Redmi Note 8 sleduje takmer všetko, čo na ňom robí. Zozbierané dáta boli následne poslané na vzdialené servery, v správe čínskej spoločnosti Alibaba. Tá ich prenajíma Xiaomi.

Cirling zistil, že jeho mobil sledoval dáta z prehliadača, aj keď bol tento v inkognito móde. Xiaomi sledoval všetky webové stránky ktoré navštívil, vrátane vyhľadávania cez Google, alebo DuckDuckGo, či návštevu pornografických stránok.

Zariadenie sledovalo aj to, ktoré zložky otvoril, na ktoré obrazovky prešiel, vrátane stavovej lišty a nastavení. Jeho smartpfón tieto dáta posielal na servery v Singapure a Rusku. Domény však boli zaregistrované v Pekingu. Forbes následne požiadal aj Andrewa Tierneyho, ďalšieho experta na kybernetickú bezpečnosť, aby tieto informácie overil.

Tierney zistil, že prehliadače od Xiaomi, ktorý nájdete aj v Google Play, modelov Mi Browser Pro a Mint Browser zhromažďujú rovnaké dáta. Tieto appky majú podľa štatistík Google Play viac ako 15 miliónov stiahnutí. Je však pravdepodobné, že počet ľudí ktorí ich používajú je oveľa väčší.

Aj podľa Cirlinga sa problém týka väčšieho počtu zariadení, napríklad modelov MI 10, Redmi K20 a Mi MIX 3. Myslí si preto, že môžu mať rovnaké problémy s ochranou súkromia a únikom dát. Ďalším problémom je aj slabé šifrovanie údajov pri samotnom prenose, ktoré sa dá prelomiť za niekoľko sekúnd.

Reakcia spoločnosti na seba nenechala dlho čakať. Xiaomi označilo zistenia za nepravdivé. Spoločnosť oznámila, že ochrana súkromia a bezpečnosť sú predmetom ich najvyššieho záujmu. Hovorca zároveň potvrdil, že zhromažďované údaje sú anonymizované a nemôžu byť spojené s konkrétnym užívateľom. Títo mali navyše s odosielaním dát súhlasiť.

Ako však experti preukázali, smartfóny neposielali iba históriu navštívených webových stránok, či obsahu vyhľadávania. Xiaomi malo tiež zbierať údaje o telefóne, vrátane jedinečných čísel na identifikáciu konkrétneho zariadenia a verzie Androidu. Tieto metadáta sa dajú následne ľahko prepojiť s identitou majiteľa smartfónu.

Firma tiež poprela, že jej zariadenia zaznamenávajú údaje z vyhľadávania v režime inkognito. Obaja experti to však v svojich testoch vyvracajú. Spoločnosť nezmenila stanovisko ani potom, ako im Forbes poskytol video, v ktorom je vidieť ako Cirlig vyhľadáva cez Google výraz „porno“ a navštevuje pornografický web. Všetky tieto činnosti sa následne odoslali na vzdialené servery, aj napriek tomu, že sa vyhľadávanie uskutočnilo v režime Inkognito.

Expert na kybernetickú bezpečnosť ukazuje, ako Xiaomi smartfón odosiela dáta o jeho aktivitách online, vrátane návštevy pornografickej stránky.

Je to už druhýkrát v priebehu dvoch mesiacov, kedy veľká čínska technologická firma špehovala svojich používateľov.

Bezpečnostná aplikácia so „súkromným“ prehliadačom, vytvorená spoločnosťou Cheetah Mobile, bola prichytená pri zhromažďovaní informácií o používaní internetu, mien prístupových bodov Wi-Fi a ďalších údajov. Cheetah tvrdí, že informácie zhromažďujú za účelom ochrany užívateľov.

Experta na kybernetickú bezpečnosť ktorého identitu zverejniť nemôžeme, nedávne odhalenia okolo výrobcu zariadení Xiaomi neprekvapili:

„Nič nečakané…cena ich zariadení je tak nízka, že to podozrenie že potrebujú rozšíriť portfólio do každého kúta sveta, aby mohli robiť toto, som mal už dávno.

Update: Xiaomi v reakcii na obvinenia vydalo blog, v ktorom vysvetlilo kedy a za akých okolností zhromažďuje URL adresy, ktoré navštívili jeho používatelia. Jeho celé znenie si môžete prečítať tu

Spoločnosť zopakovala, že dodržiavajú zákony, idú dokonca nad ich rámec a údaje prenesené zo zariadení a prehliadačov Xiaomi boli anonymizované a nedali sa spojiť s konkrétnym človekom.

Aj napriek tomu však poskytne všetkým používateľom novú aktualizáciu prehliadačov Mint Browser a Mi Browser. Prehliadače by tak po novom mali obsahovať možnosť zapnúť/vypnúť zhromažďovanie údajov v režime Inkognito.

Adam Sitko
Študent magisterského stupňa Medzinárodných vzťahov na Masarykovej univerzite v Brne | Počas bakalárskeho štúdia na FSS absolvoval tiež odbor Bezpečnostných a strategických štúdií | Zaujíma sa o problematiku hybridných hrozieb, vojenstva a vojenských technológií | Absolvoval odbornú stáž na odbore bezpečnostnej politiky (OBEP) na Ministerstve zahraničných vecí SR a odbornú stáž v Kancelárii štátneho tajomníka Ministerstva obrany Slovenskej republiky | Je členom redakcií antipropaganda,sk a securityoutlines.cz.