Reuters ha publicado un artículo de advertencia de que el gigante chino Xiaomi está registrando los datos personales de millones de personas sobre sus actividades en línea y el uso de sus dispositivos. "Es una puerta trasera a la funcionalidad de un teléfono", dijo Gabi Cirlig, medio en broma, sobre su nuevo teléfono inteligente Xiaomi.
Este experimentado investigador de ciberseguridad habló con Forbes después de descubrir que su smartphone Redmi Note 8 estaba espiando todo lo que hacía. Luego, estos datos se enviaron a servidores remotos alojados por el gigante tecnológico chino Alibaba, que probablemente fueron alquilados por Xiaomi.
El Sr. Kirlig descubrió que se estaba rastreando una cantidad alarmante de información sobre su comportamiento y al mismo tiempo se recopilaban varios tipos de datos del dispositivo; el especialista se horrorizó de que la empresa china conociera plenamente los detalles de su identidad y su vida privada.
Cuando navegaba por sitios web en el navegador Xiaomi predeterminado en el dispositivo, este último registraba todos los sitios visitados, incluidas las consultas de los motores de búsqueda, ya sea Google o DuckDuckGo, centrado en la privacidad, y también registraba todos los elementos vistos en las noticias del dispositivo. Carcasa Xiaomi. Además, toda esta vigilancia funcionó incluso cuando se utilizó el modo “incógnito”.
El dispositivo registró qué carpetas se abrieron, qué pantallas se cambiaron, incluso en lo que respecta a la barra de estado y la página de configuración del dispositivo. Todos los datos se enviaron en lotes a servidores remotos en Singapur y Rusia, aunque los dominios web de los servidores estaban registrados en Beijing.
A petición de Forbes, otro investigador de ciberseguridad, Andrew Tierney, llevó a cabo su propia investigación. También descubrió que los navegadores proporcionados por Xiaomi en Google Play (Mi Browser Pro y Mint Browser) recopilan los mismos datos. Según las estadísticas de Google Play, en conjunto se han instalado más de 15 millones de veces, por lo que millones de dispositivos podrían verse afectados.
Los problemas, según Kirlig, afectan a un número mucho mayor de modelos. Descargó firmware para otros teléfonos Xiaomi, incluidos Xiaomi Mi 10, Xiaomi Redmi K20 y Xiaomi Mi MIX 3, antes de confirmar que usan un navegador idéntico y probablemente sufren los mismos problemas de privacidad.
También parece haber dificultades con la forma en que Xiaomi transfiere datos a sus servidores. Aunque la empresa china afirma que los datos están cifrados, Gabi Kirlig descubrió que podía ver rápidamente lo que se descargaba desde su dispositivo porque el cifrado utiliza el algoritmo base64 más simple. Solo tomó unos segundos convertir los paquetes de datos en información legible. También advirtió: "Mi principal preocupación respecto a la privacidad es que los datos enviados a servidores remotos se asocian muy fácilmente con un usuario específico".
En respuesta a las conclusiones de dichos expertos, un portavoz de Xiaomi dijo que las afirmaciones de la investigación no son ciertas, que la privacidad y la seguridad son de suma importancia, y que la compañía se adhiere estrictamente y cumple plenamente con las leyes y regulaciones locales con respecto a las cuestiones de privacidad del usuario. . Pero el portavoz confirmó que se están recopilando datos de navegación, diciendo que la información es anónima y no está vinculada a ningún individuo, y que los usuarios dan su consentimiento para dicho seguimiento.
Pero como señalan Gabi Kirlig y Andrew Tierney, no fue solo información sobre los sitios web visitados o las búsquedas en Internet lo que se envió al servidor: Xiaomi también recopiló datos sobre el teléfono, incluidos números únicos para identificar un dispositivo específico y una versión de Android. Estos metadatos se pueden correlacionar fácilmente con la persona real detrás de la pantalla, si se desea.
Un portavoz de Xiaomi también rechazó las afirmaciones de que los datos de navegación se estén registrando en modo incógnito. Sin embargo, los investigadores de seguridad descubrieron en sus pruebas independientes que su comportamiento en línea envía mensajes a servidores remotos independientemente del modo en que se esté ejecutando el navegador, proporcionando tanto fotos como vídeos como evidencia.
Cuando los periodistas de Forbes proporcionaron a Xiaomi un vídeo que mostraba cómo las búsquedas de Google y las visitas a sitios web se enviaban a servidores remotos incluso en modo incógnito, un portavoz de la empresa continuó negando que la información estuviera siendo registrada: “Este vídeo demuestra la recopilación de datos de navegación anónimos, que es una de las decisiones más comunes tomadas por las empresas de Internet para mejorar la experiencia de navegación general mediante el análisis de información de identificación no personal".
Sin embargo, los expertos en seguridad creen que el comportamiento del navegador Xiaomi es mucho más agresivo que el de otros navegadores populares como Google Chrome o Apple Safari: estos últimos no registran el comportamiento del navegador, incluidas las URL, sin el consentimiento explícito del usuario y en modo de navegación privada.
Además, en su investigación, Kirlig descubrió que el reproductor de música preinstalado en los teléfonos inteligentes Xiaomi recopila información sobre los hábitos de escucha: qué canciones se reproducen y cuándo.
Gabi Kirlig también sospecha que Xiaomi está monitoreando el uso del software porque cada vez que abre aplicaciones, se envía una pequeña cantidad de información a un servidor remoto. Otro investigador anónimo citado por Forbes dijo que también registró cómo los teléfonos de la empresa china recopilaban datos similares. Xiaomi no hizo comentarios sobre este asunto.
Se informa que los datos se envían a la empresa china de análisis Sensors Analytics (también conocida como Sensors Data), que se fundó en 2015 y se dedica a un análisis en profundidad del comportamiento de los usuarios y a proporcionar servicios de consultoría profesional. Sus herramientas ayudan a los clientes a explorar datos ocultos examinando patrones de comportamiento clave. Un portavoz de Xiaomi confirmó la conexión con la startup: "Aunque Sensors Analytics proporciona una solución de análisis de datos para Xiaomi, los datos anónimos recopilados se almacenan en los propios servidores de Xiaomi y no se compartirán con Sensors Analytics ni con ninguna otra empresa de terceros".
Fuente: 3dnews.ru