"Když používáte přehrávač hudby Xiaomi, jejich aplikaci na čtení zpráv, prohlížeč nebo i jen aplikaci pro zobrazení domovské obrazovky, tak se to všechno zaznamená společně s vaším unikátním identifikátorem," vysvětlil Gabriel Cîrlig v rozhovoru pro deník Aktuálně.cz.
Pro test použil svůj model Redmi Note 8, problém se ale podle něj týká i řady dalších modelů čínského Xiaomi. "Záznamy zahrnují také informace o hudbě a videích, na která se díváte, titulky článků a historii z vašeho prohlížeče," varuje. Podobná data mohou podle něj zahrnovat uživatelská jména, adresy, a pokud jsou weby špatně naprogramované, tak i přístupová hesla.
Podle serveru Forbes, kde Cîrlig své zjištění poprvé popsal, nepomohlo ani použití prohlížeče DuckDuckGo, který svým uživatelům slibuje maximální kontrolu nad tím, kdo může on-line uživatelské aktivity sledovat, nebo nastavení takzvaného anonymního režimu.
Veškeré nasbírané údaje pak společnost "v balíčku" posílá na servery s čínskou internetovou adresou, které ale fyzicky sídlí v Singapuru a Rusku. Jde tak o další bezpečnostní incident čínského technologického giganta. Český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) už předloni vydal varování proti firmě Huawei, u jejíchž výrobků je podle něj hrozba, že čínské komunistické vládě mohou sloužit ke špionáži.
Zjištěními analytiků ohledně Xiaomi se už NÚKIB také zabývá. "V tomto okamžiku nedisponujeme dostatečně ověřenými fakty, abychom k věci zaujímali jakékoli konkrétní stanovisko. Uvedenými informacemi se budeme dále zabývat a podle následných zjištění budeme přijímat adekvátní kroky," vysvětlil jeho mluvčí Radek Holý.
V Česku telefony značky Xiaomi podle pátrání Aktuálně.cz používají jako služební například zaměstnanci Úřadu vlády. Padesát zařízení Xiaomi Mi A2 Lite za více než 200 tisíc korun nakoupil úřad jen několik měsíců poté, co NÚKIB vloni vydal varování proti firmě Huawei.
Premiér Andrej Babiš poté nařídil, aby pracovníci Úřadu vlády tyto telefony přestali používat. Později své vyjádření mírnil. "Bavíme se o pěti telefonech, takže to není žádná zásadní informace," řekl tehdy.
Úřad vlády si nyní provedl analýzu a pracovníky, kteří mobily Xiaomi mají, prý o rizicích poučil. "Případné riziko související s používáním těchto zařízení je považováno za akceptovatelné. Krom toho je třeba zmínit, že mobilní telefony značky Xiaomi tvoří jen zlomek nasazených zařízení, přičemž žádné z nich nejsou používány zaměstnanci zastávajícími klíčová místa," uvedla mluvčí Úřadu vlády Jana Adamcová.
S tím ale Cîrlig nesouhlasí. "Jestli úřady nechtějí, aby aktivity jejich zaměstnanců sledovali cizí lidé, pak je podle mě riziko, aby používali zrovna telefony Xiaomi," je přesvědčený.
Kde data končí
Když NÚKIB před rokem varoval před Huawei, zdůvodnil nebezpečí především tím, že firma, podobně jako Xiaomi, primárně působí v "právním a politickém prostředí Čínské lidové republiky", kde "zákony vyžadují po soukromých společnostech působících v Číně mimo jiné součinnost při zpravodajských aktivitách". O rizicích tehdy hovořil dnes už odvolaný šéf úřadu Dušan Navrátil. Na jeho místo mezitím usedl bývalý šéf armádních speciálních sil Karel Řehka.
Zatímco u výrobků Huawei dodnes nejsou k dispozici jasné důkazy, že výrobky mají nějaká "zadní vrátka", kterými citlivá data unikají, v případě Xiaomi jsou doklady výrazně konkrétnější. Podle zjištění kyberexpertů jsou navíc problematická nejen samotná zařízení, vyráběná čínským Xiaomi, ale také webové prohlížeče, které firma nabízí k použití na telefonech jiných výrobců s operačním systém Android, takzvaný Mi Browser Pro a Mint Browser.
"Já telefon Redmi nemám, přesto se informace o webech, které jsem navštívil, posílaly na servery Xiaomi," vysvětluje pro Aktuálně.cz odborník na kybernetickou bezpečnost Andrew Tierney, kterého Forbes oslovil, aby zjištění Gabriela Cîrliga prověřil.
V tomto případě se jednalo o servery umístěné ve Spojených státech, a tedy mimo dosah zákonů na ochranu soukromí, které platí v Evropské unii. Snadněji se k nim proto dostanou tamní bezpečnostní složky. "Nemám tušení, co se s těmi daty děje nebo kdo k nim má přístup," varuje Tierney. Prohlížeče si z obchodu s aplikacemi pro operační systém Android stáhlo asi 15 milionů uživatelů.
Xiaomi se mezitím podle vyjádření své globální produktové manažerky Abi Goové připravuje na možnost, že používání jejich výrobků zakáže americkým firmám vláda ve Washingtonu. K podobnému kroku se už z obav ze špionáže rozhodli Američané v případě Huawei, nařízení by mělo v plné síle platit od 15. května.
Řídíme se doporučeními NÚKIB
Telefony, před kterými výzkumníci varují, mezitím nakupuje také česká policie. Jako "referentský telefon" například přímo policejní prezidium vloni pořídilo 246 mobilů Xiaomi Redmi 6A a dalších 40 Xiaomi Mi 8. Celkem za více než milion korun. Další telefony Xiaomi pak nakupují i jednotlivá krajská ředitelství, například středočeské. To je před rokem pořídilo v balíku s dalšími telefony Huawei.
"Obecně mohu uvést, že jsme v kontaktu s NÚKIB a vždy postupujeme podle jeho doporučení. Policie ČR využívá zařízení uvedené firmy v takových oblastech, kde by ani teoreticky nehrozilo potenciální riziko ohrožení a úniku utajovaných či citlivých informací," ujišťuje mluvčí policejního prezidia David Schön.
Telefony Xiaomi nakoupil také Český statistický úřad (ČSÚ) pro přípravu nadcházejícího sčítání lidu, které se uskuteční příští rok. Za celkem 262 kusů modelů Xiaomi Mi A2 Lite a Xiaomi Mi A3 dal za poslední rok a půl na 1,3 milionu korun. Vyhrály díky nejnižší ceně. Podle statistiků ovšem jimi budou protékat jen veřejně dostupná data, a tudíž žádné riziko nehrozí.
"Tyto telefony používá okruh našich regionálních pracovníků a jsou užity výhradně pro podporu územní přípravy sčítání, kdy se pracuje pouze s již veřejně dostupnými daty například z katastru nemovitostí. Podstatné je, že námi vysoutěžené typy telefonů byly dle našich požadavků dodány pouze s holým operačním systémem Android a zvláštní aplikace potřebné pro práci našich pracovníků instaloval sám úřad," zdůvodňuje to mluvčí ČSÚ Jan Cieslar.
A stejné telefony nakupují i nemocnice, u nichž nedávno NÚKIB vydával další varování před kybernetickými útoky. "V současné době máme v nemocnici 25 těchto telefonních přístrojů. Používají je administrativní pracovníci. Telefonní přístroje musíme soutěžit, takže pokud vypíšeme soutěž a firma splní kritéria, nemůžeme nikoho vyřadit z důvodů, které popisujete," říká mluvčí brněnské Fakultní nemocnice u svaté Anny Dana Lipovská. Telefony Xiaomi jsou u řady uživatelů oblíbené i kvůli nízkým cenám.
"Mohli bychom si to dovolit pouze v případě, že by například Úřad pro ochranu osobních údajů vydal nějaké doporučení týkající se bezpečnostního rizika. Prozatím žádné kroky podnikat nebudeme," dodává Lipovská.
Sbíráme anonymně, ale necháme toho
Společnost Xiaomi obvinění analytiků odmítá. "Ta tvrzení jsou nepravdivá. Soukromí a bezpečnost je naše hlavní priorita a striktně dodržujeme místní zákony a regulace týkající se soukromí uživatelských dat," uvádí.
Firma nepopírá, že se data na servery skutečně odesílají, tvrdí ale, že pečlivě zašifrovaná a anonymní, aby ochránila soukromí uživatelů, a že jejich sběru lze zabránit zapnutím anonymního módu. Cîrlig s tím ale nesouhlasí. "Říkají polopravdy, aby nemuseli přiznat, že data, která se posílají na servery, můžou být prokazatelně spojena s jednotlivými lidmi," vysvětluje Cîrlig. Sám z množství nečitelných dat rozluštil vlastní digitální stopu za několik vteřin.
Kdo je Gabriel Cîrlig a Andrew Tierney
Gabriel Cîrlig je softwarový vývojář původem z Rumunska, nyní pracuje jako výzkumník pro americkou společnost White Ops, která se věnuje kybernetické bezpečnosti. Andrew Tierney pak působí jako tester bezpečnostních aplikací, analytik a konzultant v oblasti počítačové bezpečnosti. V současnosti pracuje pro britskou společnost PenTestPartners.
"Dokázal jsem, že veškerá takto sledovaná on-line aktivita se dá spojit s osobním MI účtem," tvrdí softwarový inženýr. Tato uživatelská identita je - podobně jako například konkurenční Apple ID - nezbytná k využívání služeb, které telefony poskytují. Kromě toho Cîrlig i Tierney zjistili, že Xiaomi sbírá také údaje, ze kterých jde určit konkrétní model telefonu a verzi operačního systému. "To všechno může být snadno propojeno s konkrétní lidskou bytostí," dodává Cîrlig.
Podle Tierneyho může společnost, která je z hlediska podílu na trhu čtvrtým největším výrobcem chytrých telefonů na světě, takto získaná data využívat například pro přesnější cílení reklamy. To dělají i webové prohlížeče konkurentů, například Google Chrome, Mozilla Firefox nebo Apple Safari.
"Ani jeden není perfektní, ale jsou mnohem transparentnější v tom, jaká data sbírají. Je pravda, že sledovací technologie Googlu jsou velmi účinné, a pravděpodobně už mají přístup ke stejným datům (jako Xiaomi, pozn. red.), jen je získávají jiným způsobem. Ale nenašel jsem důkaz toho, že by Chrome nebo Firefox někam posílaly třeba adresy webů, které jste si zobrazili. Apple je naopak dost dobrý v tom, že uživatelská data neshromažďuje," dodává kybernetický analytik.
Xiaomi vychází špatně i ze srovnání výrobců mobilních zařízení. "Ostatní vás před sběrem dat požádají o výslovný souhlas a nabízí možnost si sbírání dat - která jsou navíc přísně anonymní - vypnout," vysvětluje Cîrlig. "Ale sbírat webové adresy bez vědomí uživatele a navíc v anonymním módu - to je nejhorší, co vůbec může být," doplňuje.
Xiaomi čtyři dny po zveřejnění zjištění analytiků přislíbilo, že příští aktualizace webového prohlížeče bude nově zahrnovat možnost uživatelům vyjádřit nesouhlas s tím, aby se jejich data odesílala na servery čínské společnosti.
Na to už zareagovaly také české úřady. Podle mluvčí Úřadu vlády byly všechny služební chytré telefony aktualizovány na zmíněnou opravenou verzi. "Příslušní uživatelé těchto zařízení byli v této souvislosti náležitě poučeni," dodala mluvčí Jana Adamcová.
