Thứ Sáu, 25 tháng 7, 2014

Tìm hiểu vụ: điện thoại Xiaomi ăn cắp dữ liệu người dùng?

Tinhte_Xiaomi.
Những ngày qua cộng đồng mạng xôn xao về thông tin điện thoại Xiaomi Note đánh cắp dữ liệu cá nhân của người dùng và bí mật gửi về máy chủ bên TQ. Vấn đề đặt ra là thực chất thì có chuyện ăn cắp thông tin và gửi đi hay không? Để tìm hiểu kỹ hơn thì mình đã mượn thử một chút Xiaomi Redmi Note về dùng và tìm cách theo dõi thử xem thực sự thì máy có ăn cắp thông tin không. Thông tin dữ liệu cá nhân bao gồm: danh bạ, tin nhắn, hình chụp, dữ liệu lữu trữ trong máy.

Máy đã có trong tay, giờ thì làm sao để theo dõi? Thực ra thì nếu người ta đã muốn dấu thì khó mà phát hiện được, chỉ có thể làm hết sức mà thôi. Như bữa giờ mọi người vẫn dùng phần mềm Network Connections để theo dõi trực tiếp, vì thế mình cũng sẽ dùng thử ngay phần mềm này. Bạn cũng có thể cài vào chiếc Android đang dùng và đối chiếu luôn nhé.
Trường hợp 1 - Đăng nhập tài khoản Gmail, Facebook sử dụng bình thường

Ở thử nghiệm đầu tiên, máy được giữ nguyên hiện trang như mới bóc hộp, chỉ đăng nhập thêm Gmail và Facebook vào để dùng. Sử dụng trình chụp ảnh, nhắn tin mặc định, sử dụng Chrome để lướt web. Xong bước cài đặt, giờ thì theo dõi bằng Network Connections thôi.

Sau một ngày sử dụng và theo dõi thì phần lớn những connections là từ Google và Facebook, như hình dưới đây. Có nổi lên 2 đối tượng nghi ngờ là Android system và Xiaomi Service framework. Hoàn toàn không thấy messenger hay Gallery xuất hiện như những thông tin và cộng đồng mạng đăng gần đây.

tinhte_xiaomi_redmi note_1.

Có một lưu ý: máy hãng nào cũng có gửi dữ liệu người dùng về cho hãng, dữ liệu cơ bản giống như việc Google thu nhập thông tin của bạn để hiển thị quảng cáo. Với chiếc LG G3 được sử dụng để đối chiếu thì cũng có Android System. Vấn đề là LG sử dụng Android được cấp phép của Google với các dịch vụ Google Service nên các IP phần lớn trỏ về Google, còn Xiaomi sử dụng bản Android miễn phí (AOSP) rồi độ lại để sử dụng với các service riêng, do đó các IP trỏ về Xiaomi là dễ hiểu.

tinhte_xiaomi_redmi note_2.
Trường hợp 2 - Kích hoạt dịch vụ Mi Cloud, Backup, Cloud Messaging, Cloud images …

Ở phần tiếp theo này mình cũng đăng nhập Gmail và Facebook và cũng sử dụng như phần 1, tuy nhiên có kích hoạt thêm các service riêng của Xiaomi như Mi Cloud, Backup, Cloud Messaging, Cloud images … Lưu ý là những dịch vụ này mặc định không kích hoạt mà nếu người dùng thích dùng thì có thể kích hoạt lên bằng cách tạo một tài khoản Mi Cloud và sau đó đăng nhập thì mới bắt đầu sử dụng được.

tinhte_xiaomi_redmi note_3.

Tuyệt vời, điều mình mong chờ đã hiện ra, các dịch vụ của Xiaomi đã xuất hiện trong bảng theo dõi của Network Connections và đang liên tục gửi dữ liệu về server của Xiaomi. Phải chăng nó đang ăn cắp dữ liệu của em?????
tinhte_xiaomi_redmi note_4.

Các thông tin trước đây đều nói máy chỉ gửi dữ liệu đi khi có kết nối wifi, điều này hoàn toàn bình thường vì sao lưu dữ liệu hay backup thì hãng nào cũng dùng qua wifi cả. Như với iCloud Backup mình dùng trên iOS thì 12h đêm, khi có kết nối wifi và cắm sạc.

Nói đi thì phải nói lại, lỡ nghi thì nghi luôn: như vậy nếu dùng dịch vụ Backup hay Cloud thì dữ liệu của người dùng nằm toàn bộ ở server của hãng. Trên lý thuyết thì hãng chỉ sao lưu, nhưng thực tế hãng có mò vào không thì không biết, dù là Apple, Google, Evernote, dropbox hay Xiaomi thì có chúa mới biết được.

Trường hợp 3 - thử nghiệm cuối cùng với việc sniff dữ liệu gửi đi từ điện thoại

Trước khi bắt đầu trường hợp thứ 3 thì đã có thể kế luận sơ bộ thông qua 2 trường hợp ở trên rồi. Có thể nói dữ liệu của bạn sẽ không được gửi lên server trừ khi bạn sử dụng dịch vụ sao lưu và lữu trữ Mi Cloud. Như vậy khó mà có thể nói Xiaomi đang ăn cắp dữ liệu người dùng.

Để cho chắc ăn hơn nữa thì ở trường hợp thứ 3 này mình sẽ quay lại kiểu dùng của trường hợp 1: tức là không đăng nhập Mi Cloud, chỉ đăng nhập Gmail, Facebook .. Sau đó sẽ sử dụng phần mềm sniff trên máy tính để bắt data do Redmi Note gửi đi và xem thử xem trong đó có dữ liệu cá nhân của người dùng không.

Tuy nhiên cách này mới chỉ là phương pháp, thực tế thì cần thời gian để mò. Do đó sẽ báo cáo tiếp với anh em trong phần sau của bài viết. Tuy nhiên, như ở trường hợp 1 có nói: lượng data và Android system và Xiaomi Service Framework gửi đi là khá nhỏ, hi vọng có dữ liệu cá nhân của người dùng trong đó là không mấy khả quan.

Người đăng: vào lúc