Είναι ένα backdoor με λειτουργία τηλεφώνου, λέει αστειευόμενος ο Cabi Cirlig, όσον αφορά το νέο του Xiaomi smartphone. Ο Cirlig συνομιλεί με το Forbes λίγο μετά την ανακάλυψη ότι το Xiaomi Redmi Note 8 smartphone του παρακολουθούσε τη δραστηριότητά του στη συσκευή. Τα δεδομένα στέλνονταν σε απομακρυσμένους servers, οι οποίοι ανήκαν σε έναν άλλον μεγάλο γίγαντα του χώρου, την Alibaba.
Ο εν λόγω ερευνητής ασφαλείας ανακάλυψε ότι η συμπεριφορά του με τη συσκευή παρακολουθούνταν, την ίδια στιγμή που πολλών ειδών δεδομένα της συσκευής στέλνονταν στην Xiaomi, δείχνοντας με τον πιο σαφές τρόπο, ότι η ταυτότητά του και τα προσωπικά του δεδομένα γίνονταν διαθέσιμα στη κινεζική εταιρεία.
Οι έντονες ανησυχίες του επιβεβαιώθηκαν για ακόμη μια φορά, όταν κοίταξε τον default browser της Xiaomi, ο οποίος προέβαινε στην καταγραφή όλων των websites που αυτός επισκεπτόταν, συμπεριλαμβανομένων των ερωτημάτων στη μηχανή αναζήτησης, είτε με την Google, είτε με την DuckDuckGo και κάθε πράγμα που έβλεπε σε ένα news feed feature στο λογισμικό της Xiaomi. Και το tracking αυτό, φαίνεται ότι λάμβανε χώρα, ακόμη και αν χρησιμοποιούσε το incognito mode, το οποίο θεωρούνταν ασφαλές.
Η συσκευή κατέγραφε ακόμη τους φακέλους που άνοιγε, σε ποιες οθόνες έκανε swipe, συμπεριλαμβανομένης της status bar και των settings. Όλα τα δεδομένα αυτά στέλνονταν σε απομακρυσμένους servers στη Σιγκαπούρη και στη Ρωσία, αν και τα web domains στα οποία γίνονταν hosted ήταν κατοχυρωμένα στο Πεκίνο.
Το Forbes που παρουσιάζει σε εκτενές και αποκλειστικό δημοσίευμα τα εν λόγω ευρήματα, ζήτησε από τον ερευνητή κυβερνοασφάλειας Andrew Tiernay να εξετάζει περισσότερο το ζήτημα. Ανακάλυψε, ότι οι browsers που κάνουν το ντεμπούτο τους από την Xiaomi στο Play Store, Mi browser και Mint Browser, προέβαιναν στη συλλογή αυτών των δεδομένων. Και να φανταστείτε έχουν σημειώσει περισσότερα από 15 εκατομμύρια downloads στο Google Play Store.
Πολλά περισσότερα εκατομμύρια χρηστών είναι πιθανόν να επηρεάζονται, από αυτό που ο Cirlig περιγράφει ως ένα σημαντικό πρόβλημα όσον αφορά την ιδιωτικότητα, αν και από την μεριά της η εταιρεία αρνήθηκε ότι κάτι τέτοιο αποτελεί πρόβλημα. Με την αξία της να υπολογίζεται στα 50 δισεκατομμύρια δολάρια, η Xiaomi είναι ένα από τους τέσσερις κορυφαίους κατασκευαστές σε παγκόσμιο επίπεδο όσον αφορά το μερίδιο, πίσω από την Apple, την Samsung και τη Huawei. Η Xiaomi είναι γνωστή για τις εξαιρετικές συσκευές που διαθέτει, με εξαιρετικό value for money χαρακτήρα. Αλλά για τους χρήστες, κάτι τέτοιο, συνεπάγεται ένα κόστος. Την ιδιωτικότητά τους, όπως υποστηρίζει το Forbes.com.
Ο Cirlig σπεύδει να σημειώσει ότι επηρεάζονται πολλές άλλες συσκευές και μοντέλα. Κατέβασε, συγκεκριμένα, το firmware για άλλα Xiaomi smartphone, όπως το Xiaomi Mi 10, το Xiaomi Redmi K20 και το Xiaomi Mi Mix 3. Και ο ίδιος κατάφερε να επιβεβαιώσει ότι ο ίδιος κώδικας browser βρίσκεται και σε αυτές τις συσκευές.
Ένα άλλο μεγάλο ζήτημα, είναι το πως η Xiaomi μεταφέρει τα δεδομένα αυτά στους servers της. Αν και η κινεζική εταιρεία υποστηρίζει ότι κρυπτογραφούνται όταν μεταφέρονται για την προστασία της ιδιωτικότητας των χρηστών, ο Cirlic ανακάλυψε ότι μπορούσε εύκολα να δει το περιεχόμενο που στέλνονταν από τη συσκευή του, με το decoding πληροφοριών που ήταν κρυμμένες με τη μορφή ενός εύκολου στο cracking, encoding, που αποκαλείται base64. Η κύρια ανησυχία μου είναι ότι τα δεδομένα που στέλνονται μπορούν εύκολα να συσχετιστούν με έναν χρήστη, γράφει ο Cirlig.
Η απάντηση της Xiaomi στη 2η σελίδα
