Expert v oblasti IT bezpečnosti, Gabriel Cirlig, na Twitteru zveřejnil informace, že čínská společnost Xiaomi velmi detailně zaznamenává chování uživatelů a svá sledování posílá na své servery hostované firmou Alibaba v Singapuru a Rusku.
Na jeho zařízení Redmi Note 8 docházelo k přenosům informací o každé návštěvě webové stránky, sledování každé zprávy v Xiaomi Newsfeedu a každém vyhledávání na internetu v aplikaci prohlížeče: tyto informace byly předávány na servery výrobce. Bezpečnostní expert se v té souvislosti obává, že jsou ovlivněny i další modely Xiaomi, které používají stejný kód prohlížeče. K nim patří Xiaomi Mi 10, Redmi K20 a Mi MIX 3.
Co je obzvlášť alarmující, data byla zřejmě zaznamenávána a přeposílána i když uživatel v prohlížeči aktivoval režim inkognito. Kromě chování uživatele byly také přenášeny informace o příslušném smartphonu včetně verze Androidu a přiděleného ID uživatele. Tato data by mohla být použita k jednoznačné identifikaci uživatelů, varuje IT expert.
Xiaomi: hudba a nastavení jsou také špehovány
To ale není zdaleka všechno. Jak je patrné v kódu aplikací Xiaomi, zaznamenávají se i skladby a alba přehrávaná v hudebních aplikacích, a to i včetně doby přehrávání. Jak sdělil expert časopisu Forbes, byly zřejmě přeneseny informace o složkách, na které uživatel klepl a nastavení. Při přenosu dat by Xiaomi měla používat šifrování. Cirlig ale šifrovací metodu popisuje jako snadno prolomitelnou. Zřejmě se mu povedlo data během krátké doby dešifrovat.
Expert v oblasti kybernetické bezpečnosti, Andrew Tierney, celou záležitost na základě podnětu časopisu Forbes prošetřil. Zjistil, že prohlížeče Xiaomi Mi Browser Pro a Mint Browser, které lze stáhnout z obchodu Google Play, shromažďují stejná data. Obě aplikace vykazují počet stažení ve výši zhruba 15 milionů.
Sběr dat: navzdory důkazům ve videích Xiaomi vše popírá
Xiaomi se mezitím ke vzneseným obviněním vyjádřila, ale zjevně je rozporuje. Připouští, že se shromažďuje a analyzuje historie prohlížeče. To se ale zcela anonymizuje. Je však chybou, že se podobně sledují aktivity také v anonymním režimu, dodává Xiaomi. Zde se údajně přenáší pouze "statistická data o užívání", jako například URL.
Bezpečnostní experti však dokázali a dokumentovali ve videích a částech kódu, že přenos dat dochází i v režimu inkognito. Přesto Xiaomi tvrdí, že data nejsou ukládána. Kromě toho by se údaje o uživateli měly shromažďovat pouze tehdy, pokud k tomu dá výslovný souhlas. Data prohlížeče se mají primárně použít k identifikaci pomalých webů, což by v konečném důsledku mělo zlepšit výkon. K přenosu historie by také mělo dojít pouze v případě, pokud je uživatel přihlášen ke svému účtu Xiaomi a výslovně s poskytováním informací souhlasil v nastavení. Výtky týkající se sledování hudebního vkusu, nastavení aplikací a dalších uživatelských dat výrobce nekomentuje.
Shromažďování údajů i v režimu inkognito: jak se chránit
Mezitím Xiaomi oznámila, že uživatelé se shromažďování dat mohou v budoucnu bránit. V nejnovějších aktualizacích pro Mi Browser a Mint Browser mohou vypnout agregovaný sběr dat v anonymním režimu. Nejnovější verze prohlížečů Mi Browser / Mi Browser Pro (v12.1.4) a Mint Browser (v3.4.3) už byly uvolněny a lze je nyní stáhnout v obchodu Google Play.
Cirlig v novém tweetu informuje, že oproti očekávání by uživatelé přesto měli v nastavení deaktivovat "Enhanced Incognito Mode", pokud si váží svého soukromí.
video
