Reuters telah merilis artikel peringatan bahwa raksasa Tiongkok Xiaomi mencatat data pribadi jutaan orang tentang aktivitas online mereka, serta penggunaan perangkat mereka. “Ini adalah pintu belakang fungsionalitas sebuah ponsel,” kata Gabi Cirlig setengah bercanda tentang smartphone Xiaomi barunya.
Peneliti keamanan siber kawakan ini berbicara kepada Forbes setelah mengetahui bahwa ponsel Redmi Note 8 miliknya memata-matai semua yang dia lakukan. Data ini kemudian dikirim ke server jarak jauh yang dihosting oleh raksasa teknologi Tiongkok, Alibaba, yang kemungkinan besar disewa oleh Xiaomi.
Mr Kirlig menemukan bahwa sejumlah informasi yang mengkhawatirkan tentang perilakunya dilacak sementara berbagai jenis data dikumpulkan secara bersamaan dari perangkat - spesialis tersebut merasa ngeri karena rincian identitas dan kehidupan pribadinya diketahui sepenuhnya oleh perusahaan Tiongkok.
Ketika dia menjelajahi situs web di browser default Xiaomi di perangkatnya, browser tersebut mencatat semua situs yang dikunjungi, termasuk pertanyaan dari mesin pencari, baik itu Google atau DuckDuckGo yang berfokus pada privasi, dan semua item yang dilihat di feed berita shell Xiaomi adalah juga direkam. Selain itu, semua pengawasan ini berfungsi bahkan ketika mode “penyamaran” digunakan.
Perangkat mencatat folder mana yang dibuka, layar mana yang dialihkan, bahkan saat membuka bilah status dan halaman pengaturan perangkat. Semua data dikirim secara batch ke server jarak jauh di Singapura dan Rusia, meskipun domain web server terdaftar di Beijing.
Atas permintaan Forbes, peneliti keamanan siber lainnya, Andrew Tierney, melakukan penyelidikannya sendiri. Ia juga menemukan bahwa browser yang disediakan oleh Xiaomi di Google Play - Mi Browser Pro dan Mint Browser - mengumpulkan data yang sama. Menurut statistik Google Play, keduanya telah dipasang lebih dari 15 juta kali, yang berarti jutaan perangkat dapat terpengaruh.
Masalahnya, menurut Mr. Kirlig, berlaku untuk lebih banyak model. Dia mengunduh firmware untuk ponsel Xiaomi lainnya, termasuk Xiaomi Mi 10, Xiaomi Redmi K20, dan Xiaomi Mi MIX 3, sebelum mengonfirmasi bahwa ponsel tersebut menggunakan browser yang sama dan kemungkinan mengalami masalah privasi yang sama.
Tampaknya juga ada kesulitan dalam cara Xiaomi mentransfer data ke servernya. Meskipun perusahaan China tersebut mengklaim bahwa datanya dienkripsi, Gabi Kirlig menemukan bahwa dia dapat dengan cepat melihat apa yang diunduh dari perangkatnya karena enkripsinya menggunakan algoritma base64 yang paling sederhana. Hanya perlu beberapa detik untuk mengubah paket data menjadi informasi yang dapat dibaca. Dia juga memperingatkan: "Kekhawatiran utama saya mengenai privasi adalah bahwa data yang dikirim ke server jarak jauh sangat mudah dikaitkan dengan pengguna tertentu."
Menanggapi temuan para ahli tersebut, juru bicara Xiaomi mengatakan bahwa klaim penelitian tersebut tidak benar, dan privasi serta keamanan adalah hal yang sangat penting, dan perusahaan secara ketat mematuhi dan sepenuhnya mematuhi undang-undang dan peraturan setempat mengenai masalah privasi pengguna. . Namun juru bicara tersebut mengkonfirmasi bahwa data penjelajahan sedang dikumpulkan, dengan mengatakan bahwa informasi tersebut bersifat anonim dan tidak terikat pada individu mana pun, dan pengguna menyetujui pelacakan tersebut.
Namun seperti yang ditunjukkan oleh Gabi Kirlig dan Andrew Tierney, bukan hanya informasi tentang situs web yang dikunjungi atau pencarian Internet yang dikirim ke server: Xiaomi juga mengumpulkan data tentang ponsel, termasuk nomor unik untuk mengidentifikasi perangkat dan versi Android tertentu. Metadata tersebut dapat dengan mudah dikorelasikan dengan orang sebenarnya di balik layar jika diinginkan.
Juru bicara Xiaomi juga menolak klaim bahwa data penelusuran direkam dalam mode penyamaran. Namun, peneliti keamanan menemukan dalam pengujian independen mereka bahwa perilaku online mereka mengirimkan pesan ke server jarak jauh terlepas dari mode apa yang digunakan browser, dengan memberikan foto dan video sebagai bukti.
Ketika jurnalis Forbes memberi Xiaomi sebuah video yang menunjukkan bagaimana pencarian Google dan kunjungan situs web dikirim ke server jarak jauh bahkan dalam mode penyamaran, juru bicara perusahaan terus menyangkal bahwa informasi tersebut direkam: “Video ini menunjukkan pengumpulan data penjelajahan anonim, yang mana adalah salah satu keputusan paling umum yang dibuat oleh perusahaan Internet untuk meningkatkan pengalaman browsing secara keseluruhan dengan menganalisis informasi non-pribadi."
Namun, pakar keamanan percaya bahwa perilaku browser Xiaomi jauh lebih agresif dibandingkan browser populer lainnya seperti Google Chrome atau Apple Safari: browser tersebut tidak merekam perilaku browser, termasuk URL, tanpa persetujuan eksplisit pengguna dan dalam mode penjelajahan pribadi.
Selain itu, dalam penelitiannya, Pak Kirlig menemukan bahwa pemutar musik yang sudah diinstal sebelumnya pada ponsel pintar Xiaomi mengumpulkan informasi tentang kebiasaan mendengarkan: lagu apa yang diputar dan kapan.
Gabi Kirlig juga mencurigai Xiaomi memantau penggunaan perangkat lunak karena setiap kali dia membuka aplikasi, sejumlah kecil informasi dikirim ke server jarak jauh. Peneliti anonim lainnya yang dikutip oleh Forbes mengatakan dia juga mencatat bagaimana ponsel perusahaan China tersebut mengumpulkan data serupa. Xiaomi tidak berkomentar mengenai hal ini.
Data tersebut dilaporkan dikirim ke perusahaan analitik Tiongkok Sensors Analytics (juga dikenal sebagai Sensors Data), yang didirikan pada tahun 2015 dan bergerak dalam analisis mendalam tentang perilaku pengguna dan menyediakan layanan konsultasi profesional. Alatnya membantu klien menjelajahi data tersembunyi dengan memeriksa pola perilaku utama. Seorang juru bicara Xiaomi mengkonfirmasi hubungan dengan startup tersebut: “Meskipun Sensors Analytics menyediakan solusi analisis data untuk Xiaomi, data anonim yang dikumpulkan disimpan di server Xiaomi sendiri dan tidak akan dibagikan dengan Sensors Analytics atau perusahaan pihak ketiga lainnya.”
Sumber: 3dnews.ru