تحدث Cirlig مع موقع Forbes بعد اكتشافه أن هاتفه الذكي Redmi Note 8 كان يشاهد الكثير مما كان يفعله على الهاتف. بعد ذلك ، تم إرسال هذه البيانات إلى خوادم بعيدة استضافها عملاق التكنولوجيا الصيني الآخر ، علي بابا ، والتي استأجرتها شركة Xiaomi ظاهريًا.
وجد باحث الأمن التقني Cirlig أنه يتم تتبعكل ما تقوم به على هاتفك ، و يتم أيضًا جمع أنواع مختلفة من بيانات الجهاز ، ذاكرا أن هويته وحياته الخاصة قد اصبحت متاحة علنا للشركة الصينية شاومي .
حيث لاحظ ذلك عندما إستخدم متصفح شاومي الافتراضي ،لاحظ تسجيل جميع مواقع الويب التي زارها ، بما في ذلك عمليات بحث Google أو DuckDuckGo الموقع الشبيه لجوجل والذي يركز على الخصوصية ، وكل عنصر يتم عرضه على ميزة موجز الأخبار من برنامج Xiaomi. و يبدو أن هذا التتبع للبيانات يحدث حتى لو استخدم وضع “التخفي”
كان الجهاز يسجل أيضًا المجلدات التي فتحها ، بما في ذلك شريط الحالة وصفحة الإعدادات. و تم تجميع البيانات وإرسالها إلى خوادم بعيدة في سنغافورة وروسيا ، على الرغم من من أن نطاقات هذه الخوادم تم استضافتها في بكين.
وفي الوقت نفسه ، قام باحث الأمن السيبراني أندرو تيرني بإجراء مزيد من التحقيق. فوجد أيضًا أن المتصفحات التي تم انشائها بواسطة شاومي Google Play – Mi Browser Pro و Mint Browser – تجمع نفس البيانات. معًا ، هذه التطبيقات لديها أكثر من 15 مليون عملية تنزيل ، وفقًا لإحصاءات Google Play.
من المحتمل أن يتأثر الملايين بهذه المشكله الخطيرة التي تتعلق بالخصوصية على حد وصفه، على الرغم من أن شاومي تنفى وجود مشكلة.
تعد شركة شاومي ، التي تبلغ قيمتها 50 مليار دولار ، واحدة من أكبر أربعة شركات تصنيع للهواتف الذكية في العالم من حيث حصتها في السوق ، خلف Apple و Samsung و Huawei. تبيع شاومي أجهزة رخيصة الثمن لها العديد من المواصفات نفسها مثل الهواتف الذكية الاعلى والأغلى ثمنا . ولكن بالنسبة للعملاء ، يمكن أن تأتي هذه التكلفة المنخفضة بسعر باهظ الثمن: خصوصيتهم كما تحدثنا هنا في هذه الحلقة حول شركة شاومي وسياستها في التسعير
يعتقد Cirlig أن المشاكل تؤثر على أمثلة أكثر بكثير من تلك التي اختبرها. فقام بإختبار لهواتف شاومي الأخرى – بما في ذلك أجهزة Xiaomi MI 10 و Xiaomi Redmi K20 و Xiaomi Mi MIX 3. ثم أكد أن لديهم نفس رمز المتصفح ، مما دفعه إلى الشك في أن لديهم نفس مشكلات الخصوصية.
ويبدو أن هناك مشاكل في كيفية نقل شاومي للبيانات إلى خوادمها. على الرغم من أن الشركة الصينية ادعت أن البيانات تم تشفيرها عند نقلها في محاولة لحماية خصوصية المستخدم ، فقد وجد Cirlig أنه كان قادرًا على رؤية ما يتم أخذه من جهازه بسرعة عن طريق فك تشفير مجموعة من المعلومات التي تم إخفاؤها بشكل سهل و ترميز قابل للتكسير ، يعرف باسم base64. استغرق الأمر Cirlig بضع ثوان فقط لتغيير البيانات المشوشة إلى أجزاء من المعلومات يمكن قراءتها.
وحذر Cirlig من أن “قلقي الرئيسي بشأن الخصوصية هو أن البيانات المرسلة إلى خوادمهم يمكن ربطها بسهولة شديدة بمستخدم معين”.
رد شاومي
ردا على ما ذكر ، قالت شاومي ، “هذه الإداعائات غير صحيحة” ، و “الخصوصية والأمان في صدارة اهتماماتنا” ، مضيفا أنها “تتبع القوانين واللوائح المحلية بشأن مسائل خصوصية بيانات المستخدم.” لكن متحدثا للشركة أكد أن ، أن المعلومات مجهولة المصدر لذا لم تكن مرتبطة بأي هوية. وذكرت الشركة أن المستخدمين وافقوا على مثل هذا التتبع.
ولكن ، كما أشار Cirlig ، لم يتم إرسال موقع الويب أو بحث الويب فقط إلى الخادم. كانت شاومي تجمع أيضًا بيانات حول الهاتف ، بما في ذلك أرقام فريدة لتحديد الجهاز المحدد وإصدار Android. وقال سيرليج إن هذه ” البيانات الوصفية” يمكن أن “ترتبط بسهولة بإنسان فعلي خلف الشاشة”.
كما نفى المتحدث باسم شاومي أيضًا تسجيل بيانات التصفح تحت وضع التصفح المتخفي. ومع ذلك ، وجد كل من Cirlig و Tierney في اختباراتهما المستقلة أنه تم إرسال استخدامات الويب الخاصة بهما إلى الخوادم البعيدة بغض النظر عن الوضع الذي تم تعيين المتصفح عليه ، وقامو بتوفير بعض الصور ومقاطع الفيديو كدليل.
عندما زودت مجلة Forbes شاومي بفيديو من إعداد Cirlig يوضح كيف تم إرسال بحث Google عن ” زيارة موقع P…nH.b إلى خوادم بعيدة ، حتى عندما كان في وضع التصفح المتخفي ، استمر المتحدث باسم الشركة في إنكار تسجيل المعلومات . وأضافوا “يعرض هذا الفيديو مجموعة من بيانات التصفح المجهولة ، والتي تعد واحدة من أكثر الحلول شيوعًا التي تتبناها شركات الإنترنت لتحسين تجربة المنتج الإجمالية للمتصفح من خلال تحليل معلومات غير شخصية”.
اشتبه Cirlig أيضًا في أن شاومي كانت تراقب استخدام تطبيقاته ، حيث أنه في كل مرة يفتح فيها تطبيقًا ، يتم إرسال جزء كبير من المعلومات إلى خادم بعيد. قال باحث آخر قام باختبار أجهزة شاومي ، على الرغم من أنه كان خاضعًا لاتفاقية عدم الإفشاء لمناقشة المسألة بشكل علني ، قال إنه رأى هواتف الشركة تجمع مثل هذه البيانات. و لم ترد شاومي على الأسئلة المتعلقة بهذه المسألة.
“التحليلات السلوكية”
يبدو أن لدى شاومي سبب آخر لجمع البيانات لفهم سلوك مستخدميها بشكل أفضل. إنها تستخدم خدمات شركة تحليلات سلوكية تسمى Sensors Analytics.
وجد كل من Cirlig و Tierney أن تطبيقات شاومي كانت ترسل البيانات إلى النطاقات التي يبدو أنها تشير إلى Sensors Analytics ، احتوت الصفحة على جملة واحدة: “Sensors Analytics جاهزة لتلقي بياناتك!” كان هناك API يسمى SensorDataAPI – API (واجهة برمجة التطبيقات) وهي البرنامج الذي يسمح للأطراف الثالثة بالوصول إلى بيانات التطبيق. يتم ذكر شاومي أيضًا كعميل على موقع Sensors Data .
لدى المؤسس والرئيس التنفيذي لشركة Sensors Data ، Sang Wenfeng ، تاريخ طويل في تتبع المستخدمين. في شركة الإنترنت الصينية العملاقة Baidu ، قام ببناء منصة بيانات كبيرة لسجلات مستخدم Baidu ، وفقًا لسيرة الشركة الحيوية.
في وقت متأخر من بحثه ، اكتشف Cirlig أيضًا أن تطبيق مشغل الموسيقى لشاومي على هاتفه كان يجمع معلومات عن عاداته في الاستماع: ما هي الأغاني التي تم تشغيلها ومتى.
كانت هناك رسالة واضحة للباحث: عندما تسمع موسيقى ، شاومي تستمع أيضًا.
فيما نشرت Xiaomi مدونة حددت فيها كيف ومتى تجمع عناوين URL التي زارها المستخدمون. اقرأها بالكامل هنا .
ما رأيك في امور الخصوصية التي تم الكشف عنها وعن البيانات التي تستخدمها هذه الشركات . هل تعتقد أنها فقط تستخدم في عرض اعلانات خاصة بك كما تحدثنا عنها هنا في حلقة الغاء اعلانات شاومي ومنها كانت اغلاق موافقتك على ارسال بياناتك لشاومي ليتم عرض اعلانات مخصصة لك ، أم أن لها سبب أخر وأن جمع المعلومات هدفها الأول غير شريف ؟