Jedyny w Polsce serwis o internecie, prywatności i mediach społecznościowych pisany z perspektywy technologicznej, humanistycznej i społecznej

Smartfony chińskiej firmy Xiaomi w Polsce cieszą się ogromną popularnością przede wszystkim ze względu na swoją dostępność cenową. Dziennikarze magazynu „Forbes” przeprowadzili jednak śledztwo, z którego płynie jeden wniosek – korzystna cena łączy się z inwigilacją użytkowników, a nie z chęcią przypodobania się przez młodą markę konsumentom na zachodnich rynkach. Cytując klasyka: „nie ma darmowych obiadów”.

Badacz cyberbezpieczeństwa Gabi Cirlig uważnie przyjrzał się zachowaniu swojego smartfona Xiaomi Redmi Note 8. Jak stwierdził, urządzenie gromadzi większość informacji na temat jego aktywności w internecie, a zebrane dane są następnie przesyłane na serwery chińskiego giganta e-commerce – koncernu Alibaba, od którego Xiaomi wynajmuje przestrzeń do przechowywania danych.

Niebezpieczna przeglądarka

Swoje zastrzeżenia Cirlig skierował przede wszystkim pod adresem domyślnej przeglądarki internetowej w telefonie Xiaomi. Program rejestrował całą historię odwiedzanych przez mężczyznę stron, a także wszystkie zapytania wpisywane do wyszukiwarek – niezależnie od tego, czy korzystał on w danej chwili z popularnego Google’a, czy też z wyszukiwarki DuckDuckGo, która oferuje podwyższony standard prywatności. Przeglądarka rejestrowała również wszystkie informacje o aktualnościach, które Cirlig czytał z użyciem wbudowanego w program strumienia wiadomości. Według badacza, śledzenie wykonywanych w internecie czynności miało miejsce również w przypadku korzystania z przeglądarki w trybie incognito.

Pokaż kotku, co masz w środku

Gabi Cirlig twierdzi, że jego smartfon rejestrował i przesyłał na obce serwery nie tylko to, co jako użytkownik robił w internecie. Urządzenie zapisywało bowiem również dane na temat odwiedzanych przez niego folderów, a także o poszczególnych ekranach np. ustawień innej zawartości systemowej, które odwiedzał podczas korzystania z telefonu. Wszystkie dane miały być następnie kompresowane do jednego pliku i przesyłane na serwery zlokalizowane w Rosji i Singapurze, choć – jak wskazuje Cirlig – powiązane z nimi domeny zostały zarejestrowane w Pekinie.

Sprawa dotyczy milionów użytkowników

Informacje Cirliga potwierdził inny ekspert z branży – Andrew Tierney. Sprawdził on również przeglądarki dystrybuowane przez firmę Xiaomi w oficjalnym sklepie z oprogramowaniem na Androida – Google Play. Według Tierneya Mi Browser Pro i Mint Browser, które łącznie pobrano z tego sklepu ponad 15 mln razy, również gromadzą dane swoich użytkowników w sposób opisany przez Cirliga.

Problem może być jednak znacznie szerszy – według ekspertów dotyczy on bowiem nie tylko smartfona Redmi Note 8, ale szeregu innych modeli, takich jak Xiaomi Mi 10, Xiaomi Redmi K20, a także Xiaomi Mi MIX3. Ich oprogramowanie zawiera ten sam kod przeglądarki, co model Redmi Note 8 i w praktyce dostarcza użytkownikom tych samych problemów z prywatnością.

Dodatkowo, jak zauważa Cirlig, dane przesyłane z telefonów użytkowników telefonów Xiaomi na serwery są bardzo słabo szyfrowane i mogą w prosty sposób zostać przechwycone, a następnie powiązane z konkretnymi osobami – co stanowi kolejne zagrożenie dla prywatności.

Xiaomi zaprzecza

W odpowiedzi na doniesienia „Forbesa” Xiaomi poinformowało, że rewelacje Cirliga i Tierneya są „niezgodne z prawdą”, a „prywatność i bezpieczeństwo to priorytety” firmy. Koncern dodał również, że jego produkty pozostają „w ścisłej zgodności z lokalnie obowiązującymi regulacjami prywatności i ochrony danych osobowych”. Jednocześnie, rzecznik Xiaomi potwierdził, iż telefony gromadzą dane na temat zachowań użytkowników w internecie, zaznaczając przy tym, że informacje te są anonimizowane i nie można powiązać ich z konkretnymi osobami, a użytkownicy zgadzają się na tego rodzaju śledzenie (!).

Przedstawiciel firmy stanowczo zaprzeczał twierdzeniom specjalistów również wówczas, gdy dziennikarze „Forbesa” przesłali do koncernu wideo demonstrujące przesył danych Cirliga o wyszukiwanych terminach i odwiedzanych stronach na zagraniczne serwery podczas prowadzonego przez niego eksperymentu. Również wówczas koncern utrzymywał, że dane są anonimizowane, a praktyka ich gromadzenia i wysyłania na serwery firmy jest szeroko znana wśród wszystkich producentów urządzeń elektronicznych i oprogramowania i ma miejsce ze względu na potrzeby analityczne.

Cirlig i Tierney utrzymują, że to, co wykazały ich niezależnie od siebie prowadzone badania, dowodzi iż przeglądarki Xiaomi są dużo bardziej inwazyjne w stosunku do prywatności użytkowników, niż odpowiedniki tego oprogramowania dostarczane przez Google’a (Chrome) czy Apple’a (Safari).

Chińska analityka behawioralna

Zapewne mało kto słyszał o firmie Sensors Analytics. To chiński startup, który pojawia się również pod nazwą Sensors Data i działa w branży analityki behawioralnej. Inwestorom przedstawia się jako firma konsultingowa, która zajmuje się również dostarczaniem pogłębionych analiz zachowania konsumentów i użytkowników usług cyfrowych oraz urządzeń elektronicznych.

Cirlig i Tierney odkryli, że dane ze smartfonów Xiaomi trafiają właśnie do firmy Sensors Analytics. W oprogramowaniu obecnym na telefonach znajduje się SensorData API, które umożliwia dostęp do danych innym, zewnętrznym podmiotom. Na stronie internetowej firmy można również znaleźć informacje o tym, że Xiaomi to jeden z klientów Sensors Analytics.

Szef tej spółki – Sang Wenfeng ma dużą wprawę w śledzeniu użytkowników i analizie ich zachowań. Zanim stworzył swój startup, pracował dla chińskiego giganta wyszukiwania – Baidu, gdzie zajmował się analizą logów obrazujących zachowanie użytkowników w serwisie.

Xiaomi zaprzecza, jakoby smartfony firmy przesyłały jakiekolwiek dane do Sensors Analytics i do innych podmiotów.

// Gosia Fraser Więcej wpisów

Analityczka prywatności i cyberbezpieczeństwa, dziennikarka technologiczna. Interesuje się problematyką przemian społecznych w dziedzinie nowych technologii i psychologią mediów.

Jedna odpowiedź do “Czy smartfony Xiaomi są tak tanie, bo śledzą swoich użytkowników?”

  1. makwos pisze:

    to prawda…niestety wystarczy zainstalować adguard aby zobaczyć że są blokowane wys anonimowo…niby informacje z telefonu..w zależności od intensywności jego używania do serwerów Xiaomi…i nie chodzi tu tylko o przeglądarkę…tylko o urządzenie rejestrujące każdy ruch na tel Xiaomi redmi…są na to dowody…raporty filtrowania..oczywiście google robi to samo i inni ale nie w takim tempie (kilka blokad wys ING na sekundę) to robi wrażenie…

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *